Best Practice - T-Systems: Wie Unternehmen zuverlässig ihre ICT
Transcription
Best Practice - T-Systems: Wie Unternehmen zuverlässig ihre ICT
Best Practice 04 | 2011 Best Practice Ausgabe 04|2011 Das Kundenmagazin von T-Systems Ob Hacker oder Innentäter – wie Unternehmen zuverlässig ihre ICT-Infrastruktur, Daten und Anwendungen schützen. Foto © Nadja Klier Jessica Schwanruznd Werden Sie zum Helden für Kinder in Not. Schauspieleri der Botschafterin n Kinderzuku ft Spenden Sie jetzt und helfen Sie mit. Überall auf der Welt gibt es Kinder, die unsere Hilfe benötigen, weil Krisen, Kriege und Katastrophen ihnen alles genommen haben. Mit Ihrer Spende helfen Sie uns, diese Kinder zu unterstützen und ihnen eine selbstständige und menschenwürdige Zukunft zu ermöglichen. Stiftung Kinderzukunft Rabenaustraße 1a, D-63584 Gründau Tel. +49 (0) 60 51/48 18-0 www.kinderzukunft.de Wir garantieren: 100% Ihrer Spenden erreichen die Kinder, weil sämtliche Werbe- und Verwaltungskosten durch Erträge des Stiftungsvermögens und zweckgebundene Zuwendungen gedeckt werden. Spendenkonto 208 855 606 Postbank Frankfurt BLZ 500 100 60 editorial 3 Reinhard Clemens, 51, ist seit Dezember 2007 Vorstand T-Systems Deutsche Telekom AG und CEO von T-Systems. Foto: T-Systems Die Bedrohungslage durch Cyberkriminalität bekommt eine ganz neue Qualität. Spätestens jetzt ist die Zeit gekommen, in Sachen ICT-Sicherheit internationale Standards festzulegen. SICHERHEIT „DESIGNED IN EUROPE“ Sie heißen „Stuxnet“, „ZeuS“ oder „W32.Duqu“. Sie nisten sich in fremde Computer ein, stehlen Daten und könnten ganze Produktionsanlagen zum Erliegen bringen. So manchem mag das immer noch eher nach Agententhriller à la James Bond klingen. Doch wer sich näher mit IT-Sicherheit beschäftigt, weiß, die Raubzüge im Internet und Angriffe aus dem Cyberspace haben das Potenzial zu einer globalen Bedrohung. Cyberkrieg, so Bundeskanzlerin Angela Merkel, sei inzwischen „nicht weniger gefährlich als klassische militärische Angriffe“. Befeuert von einer Vielzahl spektakulärer Ereignisse bei namhaften internationalen Konzernen wie zum Beispiel Sony, rücken die Themen Datenschutz und Informationssicherheit ins Zentrum der öffentlichen Wahrnehmung. Und die Bedrohungslage wird zukünftig noch einmal eine ganz neue Qualität gewinnen. Während sich die Risiken bislang auf Finanzbetrug oder den Diebstahl von Informationen konzentrierten, gerät zunehmend die Wertschöpfung ins Visier der Angreifer. Wir sehen uns mit einer neuen Generation von Schadprogrammen konfrontiert, die nur zur Wirtschaftssabotage und -spionage entwickelt wurden. Das von der Bundesregierung angestoßene übergreifende Bündnis zum Schutz kritischer Informations-Infrastrukturen sowie das Aufstocken von ITExperten in den Behörden und Organisationen mit Sicherheitsaufgaben in Europa setzen das richtige Signal: Informations- und Kommunikationstechnik ist für die Volkswirtschaft ebenso wichtig und schützenswert wie Strom, Wasser und Gas. Im Zentrum dieser Initiative stehen daher drei strategische Ziele. Erstens: durch geeignete und abgestimmte Präventionsmaßnahmen bestehende Restrisiken verringern. Zweitens: Regeln, Prozesse und Zuständigkeiten definieren, die Unternehmen und Staat in die Lage versetzen, bei ICT-Sicherheitsvorfällen zeitnah und wirkungsvoll zu handeln. Drittens: einen übergreifenden Plan entwickeln, der unsere europäische ICT-Sicherheitskompetenz stärkt und internationale Standards setzt. Dabei zeigen schon heute immer mehr Unternehmen auch außerhalb der EU Interesse an einem hohen Datenschutzniveau, wie es in Deutschland etwa durch den Gesetzgeber eingefordert wird. Zum Beispiel beim Cloud Computing. Unter anderem ist in der Bundesrepublik die Speicherung von unverschlüsselten personenbezogenen Daten in virtuell strukturierten Ressourcen – bei denen der Speicherort nicht nachvollziehbar ist – verboten, wenn der Betroffene nicht ausdrücklich seine Zustimmung gibt. Denn nur so behalten Unternehmen jederzeit die Hoheit über personenbezogene Daten. Der Kunde muss selbst bestimmen, wo seine Daten liegen und wer welchen Zugriff darauf erhält. Dabei helfen modernste ICT-Security-Technologien, ungewollte Zugriffe zu verhindern. Wenn wir uns an die Spitze der Entwicklung stellen und Sicherheit als Designfaktor in alle Anwendungen integrieren, hat „Security designed in Europe“ die Chance, weltweit zum Qualitätssiegel für eine sichere ICT-Infrastruktur zu werden. Herzlichst Ihr Reinhard Clemens Best Practice 04 l 2011 4 inhalt AUSGABE 04|2011 ausgewählt 06 News-Ticker International. Der weltweit führende französische Hersteller von Frankiersystemen Neopost nutzt globales Hochgeschwindigkeitsnetz .... Südafrikas Glasspezialist Consol entscheidet sich für Outsourcing seiner SAP-Landschaft .... Spanischer Medienkonzern PRISA baut Digitaldienste in 22 Ländern aus .... IMPRESSUM Best Practice Das Kundenmagazin von T-Systems Herausgeber Thomas Spreitzer, T-Systems-Marketing Gesamtverantwortung Gina Duscher Projektmanagement Tatjana Geierhaas Chefredaktion Thomas van Zütphen (V. i. S. d. P.) Organisation Anke Echterling Art Direction Jessica Winter Bildredaktion Susanne Narjes Chefin vom Dienst Anja Sibylla Weddig Schlussredaktion Sebastian Schulin Autoren dieser Ausgabe: Dr. Sandro Gaycken, Steffan Heuer, Roger Homrich, Dr. Christiane Meis, Matt Sloan, Prof. Dr. Norbert Pohlmann, Tobias Schrödel, Thomas van Zütphen Verlag HOFFMANN UND CAMPE VERLAG GmbH, ein Unternehmen der GANSKE VERLAGSGRUPPE Harvestehuder Weg 42, 20149 Hamburg Tel. (040) 441 88-457, Fax (040) 441 88-236 E-Mail: [email protected] Geschäftsführung Dr. Kai Laakmann Objektleitung HOFFMANN UND CAMPE Christian Breid Herstellung Claude Hellweg (Ltg.), Oliver Lupp Litho Einsatz Creative Production, Hamburg Druck NEEF + STUMME premium printing GmbH & Co. KG, Wittingen Copyright © 2011 by T-Systems Nachdrucke nur mit Quellenangabe und Belegexemplar. Der Inhalt gibt nicht in jedem Fall die Meinung des Herausgebers wieder. Fragen zu Inhalt, Versand oder Bestellungen [email protected] ISSN 1860-689X rint Best Practice 04|2011 kompensiert Id-Nr. 1115045 www.bvdm-online.de bewegen 08 Balance-Akt für CIOs ICT Security. CIOs sollen die Produktivität ihrer Mitarbeiter erhöhen und ihnen mobiles Arbeiten und Collaboration-Formen in jeglicher Hinsicht ermöglichen. Zugleich sollen ihre ICT-Infrastrukturen trotz immer größerer Angriffsflächen nicht zu Einfalltoren für Viren, Würmer & Co. werden. Der Spagat als Traumjob kann Hilfestellung vertragen – und die kommt zukünftig aus dem Netz. Als Security as a Service zum Beispiel, der Administrationsvorgänge und Authentisierung sicherer macht und deutlich vereinfacht. 18 ICT Security ganzheitlich betrachtet Grafik. Trotz zunehmender Cyberkriminalität dürfen Unternehmen ihre IT-Infrastruktuen nicht abschotten. Doch wer steuert die Zugriffe und schleust die Daten sicher zu ihren berechtigten Empfängern? Ein Security Information and Event Management (SIEM) zum Beispiel, Risk & Compliance Tools oder ein System zur Einhaltung des „Need to know“. VIDEO Schon gesehen? www.t-systems.de/videos BEST PRACTICE ONLINE Schon gelesen? www.t-systems.de/bestpractice TWITTER Schon verfolgt? www.twitter.com/tsystemsde 5 Die ersten zwei Galileo-Satelliten starteten im Oktober ins All. Spätestens 2020 sollen für das europäische Navigationssystem 30 Satelliten in 23 000 Kilometern Entfernung die Erde umkreisen. erfahren 20 Compliance ohne Grenzen 32 Selbstverteidigung 40 Galileo Allianz. Der Finanzdienstleister und einer der Gastbeitrag. Wenn Cyberwaffen immer cleverer größten Versicherungskonzerne der Welt schützt sein IP-Daten- und Telefonnetz in Osteuropa mit neuester Security-Technologie und harmonisiert die Compliance-Anforderungen in neun verschiedenen Ländern. werden, müssen smarte Daten sich auch selbst schützen, sagt Prof. Dr. Norbert Pohlmann. Objekte werden künftig definieren, wer sie in welcher IT-Umgebung nutzen darf. Wegweisend. Ob im Rollstuhl, Mähdrescher oder Frachtschiff – das europäische SatellitenNavigationssystem schafft eine neue Mobilität und bewegt die Wirtschaft eines ganzen Kontinents. 34 Datendiebe im Fokus 44 Zahlen, Daten, Fakten Kontrovers. Wo lauert das größte Risiko? Trendmonitor. Wo sind die größten Schwach- Dr. Christiane Meis vom Sicherheitsforum Baden-Württemberg und Dr. Sandro Gaycken von der FU Berlin auf einer Spurensuche. stellen in der ICT-Security-Kette, und wie wollen sich Unternehmen künftig schützen? – Indikatoren eines Markts, dessen Entwicklung nur eine Richtung kennt: Sie steigt. 24 Vordenker Michael Fertik. Managerkontakte auf LinkedIn, Xing oder Facebook, so der CEO von Reputation.com, können Konkurrenzunternehmen schon viel verraten. Darum rät der Harvard-Absolvent dringend, die Security-Awareness von Führungsmitarbeitern auf deren Social-Media-Kommunikation auszuweiten – und auf die ihrer Angehörigen. 26 Flankenschutz im Cyberwar CERT. Das Computer Emergency Response Team von T-Systems verteidigt die IT-Systeme seiner Kunden weltweit vor Angriffen aus dem Netz. Was die Mitarbeiter dabei erleben, ist eine Art Kriegsberichterstattung aus dem alltäglichen Cyberwar. 36 CIO Talk bei Fraport Dr. Roland Krieg. Der CIO des Frankfurter 46 Kolumne Flughafens über den Sicherheitsbeitrag einer Airport-IT, Collaboration-Lösungen der großen Hubs und die Grenzen internationaler Clouds beim Daten-(Flug-)Verkehr. Seuche im Büro. Drucker und Kopierer sind nicht nur wahre Informationssammler, sie hinterlassen auch auf jedem Blatt Papier noch eine Art Signatur. Fachbuchautor Tobias Schrödel über die latent schlimmste Büroseuche der Welt: Fleckfieber. Fotos: Natalie Bothur, Mike Schroeder/argus, ESA/P. Carril, iStockphoto.com Schaut nach vorn: Fraport-CIO Dr. Roland Krieg treibt die Entwicklung von Collaboration Tools für die Zusammenarbeit internationaler Großflughäfen voran. Best Practice 04|2011 6 ausgewählt NEWS Fotos: Mauritius Images/Alamy, Ryan McVay/Getty Images, iStockphoto.com Weil immer mehr Menschen aktuelle Informationen nicht nur via Tageszeitung, Radio und TV beziehen wollen, baut der spanische Medienkonzern PRISA sein Angebot an digitalen Diensten aus. ONLINE-EXPANSION Ob im Fernseh-, Radio- oder Verlagsgeschäft – die Bereitstellung von Informations-, Bildungs- und Unterhaltungsangeboten via Internet wird für Medienunternehmen immer wichtiger. Darum will auch Spaniens führender Medienkonzern PRISA („El País“) seine Digitaldienste weiter ausbauen und beauftragte damit den ICT-Dienstleister T-Systems. Die IT-Infrastrukturen für die digitalen Services sollen künftig von der Telekom-Tochter verwaltet und administriert werden. Ziel des Projekts: Auf einer öffentlich zugänglichen Onlineplattform für alle Geschäftsbereiche des Konzerns, der in 22 Ländern TV- und Radiosender betreibt sowie Zeitungen und Magazine verlegt, sollen die PRISA-Angebote verfügbar sein. Weltweit beschäftigt PRISA knapp 10 000 Mitarbeiter. Best Practice 04 l 2011 Mit der Online-Offensive sollen zusätzliche Märkte in Europa sowie Nord-, Mittel- und Südamerika erschlossen werden. „Steigende Flexibilitätswünsche und das schnelle Wachstum unserer Gruppe verlangen die Automatisierung der Prozesse“, erläutert PRISA-Managing Director Luis Manuel García. „Für diese Expansion brauchen wir Qualität, Effizienz, Innovation und haben uns aufgrund seiner ausgewiesenen Expertise für den deutschen Dienstleister entschieden.“ Ausschlaggebend waren die maßgeschneiderten Serviceleistungen. Dazu zählen: mehrsprachige Dienste, technischer Rund-um-dieUhr-Support, Telefon-Hotlines für Nutzer und interne Kunden. T-Systems managt darüber hinaus bereits IT-Dienstleistungen am Hauptsitz des PRISAKonzerns in Madrid sowie bei PRISA Digital Services. Kontakt: [email protected] 7 Hochgeschwindigkeitsnetz für weltweiten Datenzugriff Der Hersteller von Frankier- und Kuvertiermaschinen Neopost nutzt ein globales Hochgeschwindigkeitsnetz, um seine 30 internationalen Standorte per MLPS-Technologie miteinander zu verbinden. Dass Briefe für Unternehmen, Behörden und Privatleute auch in Zeiten des Internets unverzichtbar sind, zeigt der Umsatz der französischen Neopost S.A. Die aus dem Alcatel-Konzern entstandene Aktiengesellschaft in Paris ist ein weltweit führender Hersteller von Frankier- und Kuvertiermaschinen und baut ihr internationales Geschäft gerade aus. Jetzt beauftragte das Unternehmen T-Systems mit dem Betrieb seines Hochgeschwindigkeitsnetzes, um die aktuell 30 Neopost-Standorte weltweit miteinander zu verbinden. Neopost ging es vor allem darum, seine bislang heterogenen Netze zu vereinheitlichen und sowohl Infrastruktur als auch Dienstleistungen nicht länger von verschiedenen Partnern, sondern aus einer Hand zu beziehen. Weltweit bekommen die mehr als 5000 Mitarbeiter damit direkten Zugriff auf ihre Anwendungen, können Daten zu Entwicklung, Produktion und Vertrieb deutlich schneller abfragen und kommunizieren. Betrieben wird das globale Firmennetz per MPLS-Technologie (Multi-Protocol Label Switching) unter anderem so, dass vorgegebene Datentypen priorisiert und bevorzugt an den Bestimmungsort weitergeleitet werden. Dabei sorgt die Telekom-Tochter in einer sicheren Umgebung dafür, dass das vereinbarte Datenvolumen problemlos über das IP-basierte Sprach- und Datennetz transportiert wird und schützt das neue Unternehmensnetzwerk entsprechend der Security-Policy von Neopost vor unbefugten Zugriffen. Kontakt: Frederic Ong: [email protected] GLASKLARE SICHT – DANK DER CLOUD Jährlich ungefähr eine Million Tonnen Glas verarbeitet Südafrikas Marktführer Consol Glas zu Gefäßen und Verpackungen für Kosmetika, Arznei- und Lebensmittel. Besondere Umsicht war gefragt, als der Glashersteller nach einer Outsourcing-Lösung für seine Geschäftsdaten auf Basis einer hochstabilen, standardisierten Plattform suchte. „Die von uns eingesetzte SAP-Software wie NetWeaver oder BusinessObjects Explorer verlangt extrem stabile Systeme und muss auch im laufenden Betrieb ständig feinabgestimmt und optimiert werden können“, so Consol-CIO Johan du Plessis. Denn ob Farben, Formen oder Verschlüsse – auch auf dem Glasmarkt bestimmen Moden und Trends das Geschäft. Nur aktuell verfügbare Daten ermöglichen schnelles Handeln. Die dafür nötige flexible Bereitstellung von Rechen- und Speicherleistung bezieht Consol jetzt aus einer T-Systems-Cloud. „Es gibt nur wenige Provider, die eine SAP-Landschaft so stabil anbieten und zugleich jeden neuen Prozess oder Geschäftsverlauf dynamisch mitgehen“, begründet Johan du Plessis die Entscheidung und ergänzt: „Am Anfang unserer Zusammenarbeit war T-Systems für uns ein Supplier. Heute ist die Telekom-Tochter ein strategischer Partner.“ Via Cloud hat der südafrikanische Glaskonzern nun weltweit und jederzeit Durchblick auf seine Produktionszahlen, Kosten und Investitionen. Kontakt: [email protected] Best Practice 04 l 2011 8 bewegen ICT SICHERHEIT ZWISCHEN SECURITY UND PRODUKTIVITÄT Lesen Sie hier … X vom Kostenfaktor zum Business Value – wie ICT Security wirtschaftlichen Erfolg sichert, X welche Sicherheitsstrategie Unternehmens- daten und Anwendungen wirklich schützt, X warum der Standort eines Rechenzentrums für Wettbewerbsfähigkeit, Compliance und Governance eines Unternehmens entscheidend sein kann. Cyberkriminalität – Sicherheitsrisiko Nummer 1 Foto: Mike Schroeder/argus Quarum Unam Incolae Belgae In Computerviren und Datenmissbrauch sehen knapp zwei Drittel der Führungskräfte aus Wirtschaft, Politik und Verwaltung ein deutlich höheres Risiko als in klassischer Kriminalität und Katastrophen. Dies geht aus dem „Sicherheitsreport 2011“ hervor, den das Allensbacher Institut für Demoskopie und das Centrum für Strategie und Höhere Führung im Auftrag von T-Systems erstellten. Danach hat IT-Sicherheit für 67 Prozent der Entscheider in größeren Unternehmen einen sehr hohen Stellenwert (siehe Trendmonitor Seite 44). Zugleich gehen 42 Prozent der Befragten davon aus, dass Internet- und Computerkriminalität in Zukunft weiter zunehmen werden. Denn Hacker und Industriespione rüsten auf, und ihre Methoden werden immer dreister. Best Practice 04 l 2011 9 „ Wenn Sie Ihre Daten unbeschadet zurückhaben wollen , zahlen Sie 30 Millionen Dollar. Ansonsten …“ – Allein in Deutschland belief sich der Schaden durch Wirtschaftskriminalität 2010 auf über 20 Milliarden Euro. Mehr als die Hälfte der Beute – an Daten und Geld – erzielten dabei Hacker durch Cyberattacken. Cloudnapping heißt das neueste „Geschäftsmodell“ der Onlinekriminellen, bei dem Cyber-Erpresser Unternehmensdaten nicht etwa nur stehlen, sondern damit Lösegeld erpressen. Nach Informationen des Branchenblatts „Digital“ haben die für Online-Erpressung zuständigen Cybercrime Officers bei Interpol in Lyon allein im April dieses Jahres aus europäischen Großunternehmen – darunter einem deutschen Konzern – Hinweise auf sechs Fälle von Cloudnapping erhalten. Dabei verschaffen sich die Cybergangster über Trojaner und andere Schadsoftware Zugangsdaten zu den Servern der Cloud-Provider und blockieren durch Manipulationen binnen Sekunden Unternehmen den Zugriff auf deren eigene Daten. Für Stunden oder Tage – bis das Lösegeld gezahlt ist. Egal, ob die Daten auf den Servern eines Unternehmens, im Rechenzentrum eines Cloud-Providers oder auf den Endgeräten der User gespeichert sind: „Mit der zunehmenden Zahl von Angriffen aus dem Netz“, so T-SystemsCEO Reinhard Clemens, „sind Sabotage und Spionage zu einem eigenständigen Wirtschaftszweig geworden, der Unternehmen wie Gesellschaft bis ins Mark treffen kann.“ Die zunehmenden Cyberattacken auf Wirtschaft, Industrie und nicht zuletzt auf die nationale Sicherheit elektrisieren auch die Politik. So warnte Bundeskanzlerin Angela Merkel auf der diesjährigen Sicherheitskonferenz in München vor dem „Wettrüsten im Internet“ und wies darauf hin: „Cyberwar ist so gefährlich wie ein klassischer Krieg.“ Im vergangenen Jahr sabotierte die Schadsoftware Stuxnet die Steuerung von iranischen Nuklearanlagen. Der mutmaßlich von Geheimdiensten eingeschmuggelte Trojaner zeigt ein völlig neuartiges Bedrohungspotenzial auf, indem er industrielle Steuerungssysteme angreift, wie sie auch in vielen kritischen Infrastrukturen der Energiewirtschaft oder der Wasserversorgung enthalten sind. Prompt meldete die US-Sicherheitsfirma Symantec vor wenigen Wochen den mutmaßlich ersten Stuxnet-Nachfolger: Der Wurm „Duqu“ zielt in die gleiche Richtung wie sein Vorgänger. Kontroll- und Steuerungssysteme von Industrieanlagen sind ebenfalls in den Mittelpunkt von Angriffen gerückt. Heimvorteil Europa Ob Cyberattacken oder Insider-Sabotage – weitgehend unabhängig davon, aus welcher Richtung Unternehmensdaten fremde Einsichtnahme droht, registrieren internationale IT-Provider wie T-Systems ein zunehmendes Interesse ihrer Kunden an Europa. Deren Aufmerksamkeit weckt besonders das Best Practice 04 l 2011 10 bewegen ICT SICHERHEIT Fingerprint für die Finanz Informatik Um die Zugangsberechtigung ihrer Mitarbeiter zu IT-Anwendungen und Geschäftsdaten zu überprüfen, bietet die Finanz Informatik ihren Kunden eine starke Authentisierung mittels einer biometrischen Lösung von T-Systems an. Das Unternehmen ist der IT-Dienstleister der Sparkassen-Finanzgruppe, zu der unter anderem 429 Sparkassen mit deutschlandweit 250 000 Arbeitsplatzsystemen zählen. Zusätzlich zu einem Passwort identifizieren sich heute schon Tausende Mitarbeiter beim Log-in auf einem USB-3D-Fingerprintscanner mit ihrem Fingerabdruck. Über die anwenderfreundliche, skalierbare Biometrielösung erfüllen die Unternehmen der Finanzbranche die vorgeschriebenen Standards für erhöhte Sicherheit beim Zugriff auf ihre IT-Systeme. Kontakt: [email protected] Links: www.f-i.de www.t-systems.de/finanz-informatik hohe Datenschutzniveau innerhalb der EU und eine optionale Konzentration ihrer Datenbestände in europäischen Rechenzentren. Ein Punkt, der etwa Microsoft unlängst veranlasste, die Partnerschaft mit T-Systems auszubauen, um den Kunden Softwareangebote wie Exchange und Sharepoint auch über deutsche Rechenzentren zur Verfügung zu stellen. Wie auch im Fall des Mineralölkonzerns Shell. Als einer der größten Microsoft-Kunden Europas bezieht das niederländisch-britische Unternehmen Cloud-Computing-Lösungen wie die Multifunktionsplattform Sharepoint vom US-Softwarehaus. Gespeichert werden die Daten aber nicht bei Microsoft, sondern auf Servern von T-Systems. Denn bei der Telekom-Tochter treffen die Kunden die Auswahl ihres Serverstandorts und wissen so immer, wo ihre Daten gespeichert werden. Um mögliche Datenschutzverstöße und damit verbundene Bußgelder und Schadenersatzansprüche zu vermeiden, empfahlen die Datenschutzbeauftragten des Bundes und der Länder anlässlich ihrer 82. Konferenz am 30. September deutschen Unternehmen, ihre bestehenden Verträge mit Cloud-Anbietern zu überprüfen. Dabei sollten Unternehmen besonderes Augenmerk darauf legen, dass sie als Cloud-Anwender den deutschen Gesetzen entsprechend „für die Einhaltung sämtlicher datenschutzrechtlicher Bestimmungen verantwortlich“ bleiben. Ein Punkt, der an Bedeutung gewinnt, sobald die Datenverarbeitung gegebenenfalls außerhalb der EU und des europäischen Wirtschaftsraums erfolgt. Denn Cloud-Anbieter, so die Datenschutzkonferenz, „werden zur Erbringung der IT-Dienstleistungen oft Unteranbieter einbeziehen“, etwa wenn deren „Inanspruchnahme auch nur für einen kurzzeitig gestiegenen Bedarf an Rechenleistung in Betracht kommt“. Best Practice 04 l 2011 Auch in einem solchen Fall müssen deutsche Cloud-Nutzer laut der Konferenz „ausreichende Garantien zum Schutz des allgemeinen Persönlichkeitsrechts und der Ausübung der damit verbundenen Rechte vorweisen“. Denn, so die „Orientierungshilfe“ der deutschen Datenschützer wörtlich: „In jedem Fall bleibt der Cloud-Anwender haftungsrechtlich für sämtliche Schäden verantwortlich, die der Cloud-Anbieter oder sein Unteranbieter den Betroffenen zufügen.“ Behörden und Regierungsstellen Ziel von Angriffen Weniger sind es Haftungsfragen als brandaktuelle und reale Risikoszenarien, die seit einigen Monaten die US-Behörden beschäftigen. Im Juli dieses Jahres drangen Hacker in die mutmaßlich gut geschützten Netze des US-Pentagons ein, stahlen vom Rechner eines Rüstungszulieferers 24 000 streng geheime Daten über Flugzeugelektronik, Überwachungstechnik und Netzwerkprotokolle. In wessen Auftrag die Angriffe erfolgten, ist bis heute nicht öffentlich bekannt. Wohl eher keine Konkurrenten, sondern Cybergangster waren es auch, die im April dieses Jahres und noch einmal im Mai mehr als 100 Millionen Kundendaten vom Playstation-Netzwerk des Elektronikkonzerns Sony kopierten. Mutmaßlicher Schaden: 170 Millionen Dollar. Noch nicht eingerechnet die Entschädigungen aus einer Sammelklage verärgerter Kunden und der Imageverlust für Marke und Konzern. „Ich glaube, Sie sehen, dass Cyberterrorismus eine globale Macht ist“, räumte Sony-Chef Howard Stringer gegenüber Aktionären ein, nachdem der Börsenwert des Unternehmens in Rekordgeschwindigkeit um 50 Prozent eingesackt war. Mobile Datenkommunikation mit SiMKo 11 Fotos: iStockphoto.com, fotolia.com Ob in Regierungsstellen oder der öffentlichen Verwaltung, im Finanzsektor oder in der industriellen Fertigung – für die Steigerung der Produktivität spielt in immer mehr Branchen eine Rolle, dass die Mitarbeiter nicht nur mobil arbeiten, sondern dabei auch sicher kommunizieren können. Für den verlässlichen Schutz vertraulicher Daten in ihrer mobilen Kommunikation nutzen 38 Organisationen des Bundes und seiner Ministerien den sicheren PDA SiMKo. Das von T-Systems gehärtete Endgerät bietet ausschließlich seinem individuellen Nutzer den hochsicher verschlüsselten Zugriff auf seine persönliche Daten und ermöglicht Regierungs- und Verwaltungsbediensteten, auch mobil auf ihre Kontakte, Kalenderfunktionen und E-Mails zugreifen zu können. Die gleiche Lösung nutzen bereits 50 Mitarbeiter der Geschäftsführung und oberen Führungsebenen der Sparkasse Pforzheim Calw. Die Lösung SiMKo („Sichere mobile Kommunikation“) umfasst dabei Sicherheitsmaßnahmen, die sowohl Hardware als auch Software und den Betrieb der Smartphones vor Angriffen schützen. So betrifft die Verschlüsselung den Zugang zur Kundeninfrastruktur, die übertragenen Daten, das Betriebssystem und die auf den Endgeräten gespeicherten Daten. Darüber hinaus arbeiten SiMKo-Smartphones mit einer „digitalen Identität“, also Zertifikaten, die von einem Trustcenter bereitgestellt werden. Die Zertifikate werden auf einer besonders geprüften Krypto-Karte im Gerät gespeichert, das ohne Umwege über Fremdserver eine direkte Verbindung zu einem Behörden- oder Unternehmensnetz und den Geschäftsanwendungen aufbaut. Dabei ist jede Verbindung über einen VPN-Tunnel gesichert. So ausgestattet, ist SiMKo die einzige vom Bundesamt für Sicherheit in der Informationstechnik (BSI) empfohlene Lösung für eine sichere PIM-Datensynchronisation. Kontakt: [email protected] Links: www.bsi.de www.sparkasse-pforzheim-calw.de www.t-systems.de/simko Definitiv unfreiwillig wurde Sony durch einen einzigen Sicherheitsvorfall vorübergehend zum Übernahmekandidaten. Mitte Oktober erwischte es den Konzern zum dritten Mal. Wieder ging es den Hackern um die Nutzerkonten beim Spieledienst Sony Online Entertainment (SOE) und beim weltweiten Playstation Network (PSN). Immerhin konnte Sony diesmal viel schneller reagieren. „Nur“ 93 000 gingen verloren, bevor die Cyber-Abwehrstrategen des Unternehmens den Angriff stoppten. Allein in Deutschland registrierte das Bundeskriminalamt im vergangenen Jahr 250 000 Angriffe via Internet, um an das Identitätsprofil von Usern zu kommen. Den Anstieg von 20 Prozent im Vergleich zum Vorjahr führen Experten vor allem darauf zurück, dass die Zahl mobiler Endgeräte zunimmt. Denn in nicht wenigen Fällen nutzten Hacker die immer breiter dargebotene Angriffsfläche, um sich mit einer von mobilen Endgeräten gestohlenen Identität in ein Firmennetz einzuloggen und auf vertrauliche Applikationen zuzugreifen. Zusätzlich haben Angreifer oft durch schlecht gesicherte Server, auf denen Sicherheits-Updates nicht eingespielt worden sind, leichtes Spiel. Vom Mitarbeiter zum Mittäter Mehr als 70 Prozent der Täter kommen einer Studie des Sicherheitsforums Baden-Württemberg zufolge aus dem eigenen Unternehmen und sind im Durchschnitt bereits zehn Jahre dort beschäftigt (siehe „Kontrovers“, Seite 34). „Viele Unternehmen haben sich in der Vergangenheit zu lange auf Angreifer von außen, Industriespione oder Hacker, konzentriert“, so der Telekom-Vorstand für Datenschutz, Recht und Compliance, Manfred Balz. Dabei sei „das Potenzial der Innentäter lange unterschätzt worden“. Denen werde es „relativ leicht gemacht, im eigenen Unternehmen einen sehr großen Schaden anzurichten“. Doch unter den Tätern, so Dieter Kempf, Präsident des deutschen Branchenverbandes BITKOM, seien nicht nur jene, die bewusst kriminell agieren. Immer häufiger würden Angestellte auch unwissentlich als Werkzeuge missbraucht. Das Problem mit kleinen Geheimnissen Um an Konstruktionspläne oder Produktionsdaten zu gelangen und dabei die perimetrischen Sicherheitswälle der Unternehmen einfach zu unterlaufen, ist ein kleiner Umweg für Hacker häufig viel zielführender. Etwa der zu den persönlichen Finanzdaten eines Entwicklungsingenieurs, zu dem außerehelichen (SMS-)Verkehr des Produktionsleiters mit seiner Affäre oder dem unschönen Dokumentenaustausch des eigenen Anwalts mit der Führerscheinstelle – Stichwort „Trunkenheitsfahrt“. Völlig banal oder hochbrisant? Je höher der oder die Einzelne den Geheimhaltungsdruck bei einem sehr persönlichen „little secret“ empfindet, desto größer ist das Risiko, dass er oder sie vom Opfer zum (Mit-) Täter für andere wird. Ob Laptop oder Smartphone – auf dem privaten Device Abgelegtes mag für den einen normal und vor allem privat sein. Für andere ist es gerade deshalb extrem reizvoll. Taugt es im zweiten Schritt doch dazu, dem Ausgeforschten wenn schon nicht gleich die Daten für das Future-2/17-Projekt abzupressen, so aber zumindest die Zugangsdaten dorthin. So bestätigte Jörg Ziercke, Präsident des Bundeskriminalamts, bei der Vorstellung des BKA-Lagebilds „Cybercrime 2010“ im Juni dieses Jahres: „Die Täter folgen dem Nutzungsverhalten der Anwender. Mobile Endgeräte werden Best Practice 04 l 2011 12 IT-Regelwerk speziell für Krankenhäuser Fotos: iStockphoto.com, T-Systems Kliniken in Deutschland müssen lückenlos dokumentieren können, welcher Mitarbeiter welche Patienteninformationen bearbeitet oder auch nur eingesehen hat. Dafür nutzt das Berliner Krankenhaus Königin Elisabeth Herzberge eine SAP-„Governance, Risk & Compliance“-Lösung (GRC), die T-Systems in einem Pilotprojekt für die Branchenlösung IS-H (Industry Solution Hospital) entwickelt hat. Basis ist das Modul BusinessObjects Access Control, das SAP für Industrieunternehmen – aber nicht für Kliniken – schon als Standard anbietet. Die Telekom-Tochter hat diese Lücke jetzt geschlossen. Dafür wurden von den T-Systems-Experten alle Vorgaben für kritische Berechtigungen und sogenannte Funktionstrennungskonflikte in der IS-H-Lösung zusammengeführt und als Regelwerk in SAP BusinessObjects Access Control eingespielt. Aus den gemeinsamen Erfahrungen haben SAP und T-Systems ein GRC-Outsourcing-Modell entwickelt, mit dem der ICT-Dienstleister demnächst für Krankenhauskunden eine zentrale Governance-Risk-&-CompliancePlattform in seinen Rechenzentren bereitstellen kann. Damit können Kliniken remote, ohne eigene Installation, auf das GRC-Regelwerk zugreifen und ihrer Kontrollund Überprüfungspflicht, wie sie jedes Krankenhaus im Umgang mit sensiblen Patientendaten hat, deutlich einfacher nachkommen. Kontakt: [email protected] Links: www.keh-berlin.de www.t-systems.de/partner/sap infiziert, um parallel zum PC auch an Daten und Inhalte von SMS und SMSbasierten Authentifizierungsverfahren zu gelangen.“ Alles eine Frage von Risikobewusstsein Allein soziale Netzwerke wie Facebook, Xing oder LinkedIn können wertvolle Informationen über Angriffsziele und deren personelles Umfeld liefern. Zwar lassen sich Profile vor ungewünschten Einblicken schützen, doch die wenigsten Social Networker wissen das. Und deren Gutgläubigkeit beschwört mitunter noch ganz andere Gefahren herauf. René Reutter, Leiter ICT-Sicherheit bei T-Systems: „Eine klassische E-Mail mit individuellem Zuschnitt reicht bei fehlendem Risikobewusstsein meistens schon aus, damit Hacker das Vertrauen von Mitarbeitern gewinnen. Gerade wenn es um die eigenen Hobbys oder Themen der Freizeitgestaltung geht, werden viele Menschen unvorsichtig.“ Hinter den unauffälligen Mails steckt das Ziel, präparierte Anlagen in der E-Mail oder auf einer entsprechend modifizierten Webseite („drive-by infection“) durch den Angeschriebenen nutzen zu lassen. Im selben Moment kann es bei fehlender Absicherung der Systeme dazu kommen, dass der User unwissentlich sogenannte Remote Administration Tools installiert und es dem Korrespondenzpartner dadurch ermöglicht, den Rechner von „Command and Control“-Servern aus fernzusteuern. Doch der Unternehmensberatung KPMG zufolge schult nur jedes vierte Unternehmen seine Mitarbeiter in Sicherheitsfragen und -technologien. Nur ein von drei Unternehmen hat überhaupt ein IT-Sicherheitskonzept, das wenigstens in der Theorie auch Mitarbeitern deren eigenes Angriffsrisiko vor Augen führen könnte. 37 Prozent der Firmen sichern ihre geschäftlichen Daten nicht täglich, sieben Prozent – vor allem kleinere und mittlere Unternehmen – praktisch nie in einem zusätzlichen Backup. Vielfach geht es Datendieben um Betriebsgeheimnisse und wettbewerbsrelevante Informationen – und letztlich um Geld. Unternehmen, die milliardenBest Practice 04 l 2011 schwere F&E-Daten zu schützen haben, Banken, die den Geldverkehr ihrer Kunden sichern müssen, Firmen, denen (mit intelligenter Schadsoftware hochgerüstete) Hacker gern wertvolle Kundendaten abphishen, werden sensibler. Und auch immer mehr Endverbraucher, die bis dato sorglos privateste Daten bei Facebook & Co. eingespeist haben, grübeln heute: Wo sind meine Daten eigentlich noch geschützt? Gute Frage. Denn während Internet-User Daten und Anwendungen auf Notebooks und PCs im Büro oder zu Hause durch Antiviren- oder SecuritySoftware schützen, denken über die gleiche Schutzsoftware für Smartphones und Tablets nur die wenigsten nach. Nicht zuletzt deshalb, so Norbert Pohlmann, Professor am Institut für Internet-Sicherheit der Fachhochschule Gelsenkirchen, „bieten unsere Daten immer breitere und vielfältigere Angriffsflächen“ (siehe Seite 32). Sicherheit in der Wolke Letztendlich geht es um den Schutz von Know-how, Informationen, Daten und Geschäftsprozessen. Darum, durch den Schutz vor Industriespionage und Geheimnisverrat auch die eigenen Entwicklungsvorsprünge abzusichern. Doch, so René Reutter, „viele Firmen verfügen weder über das notwendige technische Know-how noch über die personellen Ressourcen, um ihre Netzwerke und ICT-Strukturen Tag und Nacht zu durchleuchten und zu überwachen“. Aber nicht jeder Unternehmensvorstand will diese Schwäche wahrhaben. „In nahezu jeder Firma geht Investitionen in mehr Sicherheit eine KostenNutzen-Rechnung voraus“, so die Beobachtung des IT-Sicherheitsforschers Dr. Sandro Gaycken. Das Problem sei, sagt der Wissenschaftler der FU Berlin, dass „die Gefahren aus dem Netz den Verantwortlichen häufig diffus erscheinen, Kosten für die Aufrüstung der eigenen IT-Protektion jedoch sehr konkret“ (siehe „Kontrovers“, Seite 35). bewegen 13 ICT SICHERHEIT Interview „SECURITY ALS SERVICE ANBIETEN“ Hagen Rickmann, verantwortlich für den T-Systems-Geschäftsbereich Service, über Erfahrung mit Internetkriminalität, die Qualität von Sicherheitsdienstleistungen und compliancegerechte Lösungen. Herr Rickmann, was sind die konkreten Aufgaben des T-SystemsGeschäftsbereichs Service? Spätestens bei einem Security Incident merkt jeder Kunde: Entscheidend für den Betrieb seiner Unternehmens-IT ist nicht nur die Technik, die er einsetzt, sondern dass sie zuverlässig läuft. In diesem Sinne verantwortet der Geschäftsbereich Service alle Dienstleistungen gegenüber unseren Kunden, die deren Prozesse, ihre Qualität und die Einhaltung ihrer Kosten sicherstellen. Angefangen von der termintreuen und qualitätskonformen Lieferung der Services über die Verantwortung für das gesamte Angebotsportfolio und dessen Entwicklung durch innovative Lösungen bis zum Management von Transitions- und Transformationsprojekten. Welche Leistungen bietet T-Systems als führender ICT-Security-Provider an? Sicherheit hat viele Dimensionen. Unternehmen brauchen Lösungen in der gesamten Bandbreite von ICT-Security. Und die beginnt mit der Absicherung von Gebäuden und reicht über den Schutz von Netzen, Rechenzentren und immer mobileren Arbeitsplätzen bis zu rechtlichen Rahmenbedingungen. Oder denken Sie an den Schutz von Applikationen und Geschäftsprozessen – das alles zählt zu unserem Portfolio an ICT-Security-Leistungen und wird unterstützt vom Beratungsangebot unserer Sicherheitsexperten. Und da haben besondere Priorität Compliance und Governance. Denn an vielen Schnittstellen der Datenverarbeitung ist es wichtig, was technologisch möglich ist, aber es ist auch entscheidend, was juristisch erlaubt ist. An der Einhaltung dieser rechtlichen Vorgaben orientieren sich unsere Lösungen. Welche Security-Lösungen waren für Ihre Kunden 2011 besonders wichtig? Laut Cybercrime-Lagebild des BKA nimmt Internetkriminalität jährlich um 20 Prozent zu. Zugleich steigt das Schadensvolumen um mehr als 60 Prozent. Und im „Sicherheitsreport 2011“ befürchten Entscheider über alle Branchen hinweg, dass Computerkriminalität das größte Risiko für ihre Organisation darstellt. Der Fokus der Unternehmen geht zunächst einmal dahin, ihre Firmenanwendungen abzusichern. Dazu gehören vor allem Lösungen, die zur Erkennung und Vermeidung solcher Vorgänge dienen. Da werden auch Awareness-Kampagnen und Coachings der Mitarbeiter immer wichtiger – gerade wenn es um den Bereich Innentäter geht. Viele Unternehmen wissen gar nicht, dass in 70 Prozent aller Fälle von sogenanntem Know-how-Abfluss eigene Mitarbeiter oder unternehmensnahe Personen beteiligt sind. Wie beraten Sie weltweit agierende Kunden bei Sicherheitsfragen rund um Security und Cloud Computing? Wir beschäftigen mehr als 600 Mitarbeiter in unseren Professionell Services & Solutions (PSS), darunter Spezialisten in unserem CERT (Computer Emergency Response Team), die innerhalb von Minuten nach dem ersten Hinweis überall auf der Welt Schadsoftware, Trojaner & Co. bekämpfen, abwehren und unschädlich machen können. Da haben wir in den vergangenen Jahren aus Sicherheitsprojekten bei zahlreichen internationalen Kunden – und dar- unter einige Global Player – viel Know-how und Erfahrung gewonnen. Überall dort zum Beispiel, wo mit besonders sensiblen Daten umgegangen wird oder F & E extrem wettbewerbsrelevante Daten hervorbringen – in Verwaltungsorganisationen, wissenschaftlichen Einrichtungen und Zukunftsindustrien, aber auch in Unternehmen, in denen staatliche Interessen besonders geschützt werden müssen. Welche Herausforderungen sehen Sie in den kommenden Monaten für Security Services? Eine der größten Herausforderungen wird sein, Security als Service anzubieten. Weil Unternehmen sich immer weiter öffnen und kontinuierlich mehr Angriffsfläche bieten, wird der Bedarf dafür weiter steigen. Denken Sie an Cloud Computing und die steigende Zahl mobiler Endgeräte. Das können Unternehmen mit eigenen Ressourcen nicht mehr leisten. Darum investieren wir weiter in neue Cloud- und Kommunikationsdienste. So werden wir „Security as a Service“ in unsere Angebote aufnehmen, als neuen Cloud-Dienst starten und auch Administrationsvorgänge und Authentisierung weiter vereinfachen. Das gilt übrigens – und da sehen wir eine zweite große Herausforderung – besonders für den Bereich Mobilkommunikation. INTERVIEW: THOMAS VAN ZÜTPHEN Link: www.t-systems.de/we-enable-security n der Daten„An vielen Schnittstelle chtig, was technisch verarbeitung ist es wi t auch entscheidend , möglich ist, aber es is ist.“ was juristisch erlaubt Hagen Rickmannn, Geschäftsführer Service T-Sys tems Best Practice 04 l 2011 14 Hochprozentige Sicherheit Auf die neueste Generation von Antiviren-Software für Server, Gateways und PC-Arbeitsplätze mit einem mehrstufigen Viren-Scanning setzt die BerentzenGruppe AG, einer der führenden deutschen Hersteller von Spirituosen und Erfrischungsgetränken. Für seine Server und Desktops nutzt das Unternehmen das Produkt Telesec SDS. Über die klassischen AntivirusFunktionen hinaus werden damit unter anderem Spam-Abwehr-Methoden eingesetzt, und jeder Desktop erhält ein Firewall-System mit einer eingebauten Intrusion Detection in Echtzeit. Eine Softwarelösung, die – so Berentzen-IT-Leiter Heinz-Hermann Thyen – „uns höchstmögliche Sicherheit bietet, zu reduzierten Kosten und alles in einem System, das sich bequem zentral verwalten lässt“. Kontakt: [email protected] Links: www.berentzen-gruppe.de www.t-systems.de/video/security-management Doch nicht überall wird am falschen Ende gespart. Während zuletzt die IT-Budgets in vielen Bereichen gekürzt wurden, wuchsen die weltweiten Investitionen in ICT-Sicherheit laut den Marktforschern Frost & Sullivan selbst im Krisenjahr 2009 um rund zwei Prozent auf 50 Milliarden Euro. Seither beobachten die Researcher einen weiteren Anstieg um jährlich sechs bis sieben Prozent. Problemgerechte Weitsicht Um die eigene Produktivität zu erhöhen und am Markt wettbewerbsfähig zu bleiben, stellen sich CEOs und CIOs vielerorts durchaus die richtigen Fragen. Wie kommt unser Unternehmen an dynamisch zu nutzende IT-Ressourcen? Wie arbeiten wir zukünftig mit unseren Zulieferern, Partnern und Kunden zusammen? Wie können wir unseren Mitarbeitern mobile Anwendungen zur Verfügung stellen, ohne in Konflikt mit der eigenen Governance zu geraten? Ob Cloud Computing, Collaboration oder Mobility – aktuelle technologische Entwicklungen prägen das Marktumfeld in nahezu allen Branchen. Allein, von diesen Marktanforderungen schlagen zu wenige Executives die Brücke zu den Sicherheitsbelangen. Beispiel Cloud Computing Das dynamische Bereitstellen von IT-Ressourcen aus der Cloud ist aktuell das Topthema bei IT- und Business-Entscheidern. Sie nutzen IT-Leistungen bedarfsgerecht, variabilisieren ihre Kosten und vermeiden, teure Kapazitäten für maximale Systemlast vorzuhalten. Das Beratungshaus Forrester prognostiziert eine weltweite Marktentwicklung für Cloud-Services von aktuell 41 Milliarden Dollar auf mehr als 240 Milliarden Dollar am Ende dieser DeBest Practice 04 l 2011 kade. Doch auch wenn Unternehmen ihre Daten und IT-Anwendungen einem Cloud-Provider anvertrauen, bleibt die gesetzliche Verantwortung für das Einhalten von Datenschutz und Compliance beim Unternehmen. Schon aus diesem Grund sollten Verantwortliche „eine klar definierte, strukturierte und ganzheitliche ‚Governance, Risk & Compliance‘-Strategie“ stellen, so der IT-Analyst Bernt Ostergaard von Current Analysis (siehe Interview „Analyze IT“, Seite 16). Wichtig sei, so der Experte, „Bedrohungen rechtzeitig zu erkennen und Angriffe in Near Real-Time abzuwehren“. Dafür müssten Security-Verantwortliche Sicherheitsaspekte schon bei der Entwicklung von Geschäftsprozessen berücksichtigen. Denn, so Ostergaard: „Die Vorstellung, dass man Sicherheit im Nachhinein einbauen kann, ist schlichtweg falsch.“ So schließt etwa ein Identity & Access Management rollenbasierte Berechtigungen und Zugriffsverfahren ein. Neben den Dynamic Services setzt zum Beispiel T-Systems selbst für die Bereitstellung von IT-Sicherheitslösungen heute schon auf Cloud-Technologien und bietet sie als Managed Security Services oder Identity as a Service an. Dabei werden in den eigenen Rechenzentren kundenspezifische Anwendungen und Daten durch Virtual Local Area Networks sauber voneinander getrennt und verschlüsselt. Neben der Standortwahl des Rechenzentrums sichert beim Cloud Computing auf Wunsch eine sogenannte Twin-Core-Strategie Daten und Anwendungen in einem parallelen Rechenzentrum ab. Die Synchronisation findet im laufenden Betrieb automatisch statt. Fällt am Hauptstandort ein Server aus, übernimmt der „Zwilling“ nahtlos den Betrieb. Das Geschäft läuft störungsfrei weiter. Zudem sind die Netzverbindungen zu diesen Standorten doppelt ausgelegt, und die Daten werden verschlüsselt übertragen. Der gesamte Datenbestand, das höchste Gut in der IT, steht jeder- bewegen 15 ICT SICHERHEIT Standort entscheidend. In den europäischen Rechenzentren von T-Systems (Foto) schützen auch internationale Unternehmen gern ihre Daten vor unberechtigtem Zugriff. Fotos: Wolfram Scheible/Deutsche Telekom AG, iStockphoto.com Vertrauen ist gut, Cloud Security ist besser Das tschechische Unternehmen Software602 ist spezialisiert auf Dienstleistungen und Anwendungen rund um die Themen Prozessdigitalisierung, Onlineformulare und E-Government. Der IT-Dienstleister gehört zu den führenden Anbietern in Mitteleuropa und blickt auf langjährige Erfahrung speziell im Bereich E-Government zurück. Von den Technologien des Unternehmens profitieren bereits Millionen von Bürgern – durch täglich 150 000 sichere, elektronisch verifizierte Transaktionen. Angeschlossen sind gegenwärtig 40 000 Anwender an 7000 Standorten. Das IT-Unternehmen betreibt das Portal www.secustamp.com, das EU-weit von mehreren hundert Kunden aus dem öffentlichen und privaten Sektor genutzt wird. Das Portal ermöglicht es Anwendern, mit elektronischen Dokumenten zu arbeiten – ganz ohne spezielle Vorkenntnisse. Zu den Leistungen gehören die Verifizierung digitaler Signaturen, Zeitstempel, PDF-Konvertierungstools und elektronische Freigabeprozesse. Dank der Unterstützung von Smartphones und Tablet-PCs kann das Bearbeiten von Dokumenten von überall her erfolgen – auch von unterwegs. Das SecuStamp-Portal kann in alle gängigen IT-Anwendungen integriert werden, zum Beispiel ERP, CRM, DMS oder Workflow-Management. Die entsprechende Infrastruktur wird im Prager T-Systems-Rechenzentrum betrieben – als Teil einer Hybrid-Cloud-Lösung. Sicherheit, Skalierbarkeit und Zuverlässigkeit auf Grundlage verbindlicher SLA sind dadurch garantiert. Damit kann sich Software602 weiterhin auf sein schnell wachsendes, dynamisches Kerngeschäft konzentrieren. Kontakt: fi[email protected] Link: www.software602.com zeit in beiden Rechenzentren zur Verfügung. Durch definierte Servicelevels und hohe Verfügbarkeiten hat der Kunde die permanente Kontrolle über die eigenen Daten und Geschäftsapplikationen – auch in einer virtualisierten Umgebung. Beispiel Collaboration Daten- und Informationssicherheit, aber auch die Sicherheit von Geschäftsprozessen spielen in einer unternehmensübergreifenden – vielfach internationalen – Zusammenarbeit eine entscheidende Rolle. Ohne ein umfassendes Sicherheitskonzept mit Rechtemanagement und sicheren Identitäten, die den Zugang zu Systemen und Informationen regeln, droht der Verlust von Daten, Know-how und Geschäftsgeheimnissen. Zur Speicherung empfehlen sich Secure Data Container, eine Datenverschlüsselung auch während der Übertragung und auf den beteiligten Endsystemen. Den sicheren Zugriff bieten rollenbasierte Lösungen für Identity & Access Management. Denn mehr und mehr wollen Mitarbeiter unabhängig von ihrem Aufenthaltsort per Chat oder Wikis, Videokonferenzsystemen oder internen Social Media Tools datensicher miteinander kommunizieren und arbeiten. Die Zukunft gehört ICT-Security-Systemen, die eine transparente und offene Zusammenarbeit sicher machen. Beispiel Mobility Mobile Datenträger, wie sie nicht zuletzt der Trend zum „Bring your own Device“ in die Unternehmen spült, sind laut einer E-Crime-Studie von KPMG zu „Computerkriminalität in der deutschen Wirtschaft“ die leichtesten Angriffspunkte in der Informations- und Kommunikationstechnik. Durchgängige Security-Lösungen mit rollenbasierten Zugriffskonzepten helfen CIOs, die ständig wachsende Zahl und Vielfalt immer neuer Endgeräte zu integrieren und zuverlässig zu managen. Nicht zuletzt müssen die Verantwortlichen dabei zunehmend persönliche IT-Präferenzen der Mitarbeiter berücksichtigen. „Mit MoWS (Mobile Workplace Services) können sie Geräte identifizieren, User authentifizieren und im Zweifelsfall über Dienste wie Remote Wipe verdächtige Geräte abschalten“, so Hagen Rickmann, Geschäftsführer Service bei T-Systems. Der Service gewährleistet, dass Daten – wenn sie auf einem Gerät bleiben – dort nur verschlüsselt abgelegt werden. Das Gros der von Mitarbeitern genutzten Daten und Anwendungen wird indes gar nicht auf dem Gerät gespeichert, sondern ausschließlich in Servern des Cloud-Providers. So wird das Mitarbeiter-Device auf Basis zweier Nutzerprofile zur Schnittstelle auch zwischen privaten und businessgenutzten Cloud-Anwendungen, die zukünftig vom Dienstleister virtualisiert scharf voneinander getrennt bleiben. „Absolute Sicherheit“, so T-Systems-CEO Reinhard Clemens, „gibt es nicht.“ Aber eine Vielzahl leicht einzusetzender Hindernisse, die Hackern und Spionen das Eindringen in fremde Netze sehr schwierig machen. Den tokenbasierten Passwortschutz One Time Pass (OTP) zum Beispiel. Oder biometrische Authentifizierungslösungen, wie sie etwa der IT-Dienstleister der Sparkassen-Finanzgruppe heute schon bei Tausenden seiner Mitarbeiter einsetzt (siehe Seite 10). Verifizierungstools zur Prüfung digitaler Signaturen etwa beim tschechischen Spezialisten für elektronisches Dokumentenmanagement Software602 oder das von T-Systems entwickelte System für sichere mobile Kommunikation SiMKo, wie es neben der Bundesregierung auch immer mehr Firmen einsetzen: von Industrieunternehmen bis hin zu Finanzinstituten wie der Sparkasse Calw Pforzheim. Zahlreiche Lösungen für Enterprise Security und Business Protection an Best Practice 04 l 2011 16 bewegen ANALYZE IT INTERVIEW EIN UNTERNEHMEN IST KEINE INSEL Bernt Ostergaard, Research Director IT Services bei Current Analysis, über einen ganzheitlichen Ansatz in Sachen IT-Sicherheit, die Voraussetzungen für ein reibungsloses Zusammenspiel mit externen Partnern und warum bei der Auswahl externer Dienstleister deren Gesamtportfolio entscheidend ist. INTERVIEW Foto: privat Herr Ostergaard, welche Fragen stehen bei Ihnen ganz am Anfang, wenn Sie die IT-Sicherheit eines Unternehmens analysieren? Zu Beginn aller Überlegungen steht eine klar definierte, strukturierte und ganzheitliche „Governance, Risk & Compliance“-Strategie (GRC). Das setzt eine von Anfang an sehr enge Abstimmung mit der Geschäftsführung beziehungsweise dem Vorstand voraus. Im ersten Schritt sollten präzise Maßnahmen herausgearbeitet werden, die für die Sicherheit aller Unternehmenswerte und Businessprozesse relevant sind. Anschließend folgt eine Priorisierung nach Wichtigkeit und Wertigkeit. In dieser Rangfolge kommt man nicht umhin, die bereits bestehenden Sicherheitsmechanismen genauer unter die Lupe zu nehmen. Vor allem muss man sich vergegenwärtigen, wie diese Bausteine zusammenspielen und wie sie die einzelnen Businessprozesse im Unternehmen unterstützen. Mich erstaunt immer wieder, welche Budgets Unternehmen dafür ausgeben, ihre Schnittstellen nach außen zu sichern. Auf der anderen Seite fehlen dann häufig die Mechanismen, bereits aufgetretene Verstöße punktgenau zu identifizieren. So wichtig wie die eigenen Abwehrmechanismen ist es, Bedrohungen rechtzeitig zu erkennen – und zwar dann, wenn sie eintreten, oder allerspätestens kurz danach. Nur eine Detailanalyse kann hier die Grundlage weiterer Überlegungen und Maßnahmen sein. Datenanalyse und Log-Überwachung unterstützen dabei, Angriffe zu erkennen und abzuwehren – das alles in Near Real-Time. Sobald eine Sicherheitslücke erkannt wird, muss sie umgehend behoben werden. Das kann allerdings Wochen oder sogar Monate in Anspruch nehmen. Es ist deshalb unabdingbar, Sicherheitsaspekte schon bei der Entwicklung von Geschäftsprozessen zu berücksichtigen. Die Vorstellung, dass man Sicherheit im Nachhinein einbauen kann, ist schlichtweg falsch. Worauf müssen Unternehmen achten, wenn sie ihre IT sicherer machen wollen? Zunächst einmal: Das Thema Sicherheit muss als Business Value betrachtet werden. Sicherheit muss das Unternehmen auch wirtschaftlich voranbringen, Best Practice 04 l 2011 nicht behindern. Dazu gehört, dass Sicherheitsmaßnahmen die alltäglichen operativen Arbeitsprozesse nicht negativ beeinträchtigen dürfen und zum wirtschaftlichen Erfolg des Unternehmens beitragen. Drei Schlüsseltrends kommen heute auf Unternehmen zu. Erstens: mobiles Arbeiten, bei dem Mitarbeiter Fernzugriff zu allen relevanten Ressourcen benötigen – auch von unterwegs. Zweitens: Mitarbeiter nutzen immer öfter ihre eigenen Endgeräte auch in der Arbeitswelt. Darauf haben Unternehmen kaum Einfluss. Gleichzeitig sind Unternehmen dazu verpflichtet, die Einhaltung von Sicherheitsstandards zu garantieren und die entsprechenden Zugriffsrechte klar zu definieren. Zu guter Letzt – als unmittelbares Ergebnis des Einsatzes von Virtualisierung und Cloud Computing – sind Anwendungen und Daten heutzutage vielfach überall verstreut und werden nicht mehr wie früher zentral bereitgehalten. Inzwischen ist die Speicherung außerhalb der firmeneigenen Netzwerkumgebung schon gang und gäbe. Diese Entwicklungen gilt es zu berücksichtigen. Entsprechend müssen Unternehmen ihre GRC-Ansätze überdenken und neu ausrichten. Was spricht aus Sicht eines Unternehmens dafür, die eigene IT-Sicherheit externen Anbietern anzuvertrauen? Im angelsächsischen Raum sagt man: No company is an island. Die globalisierte Welt ist ohne internationale Arbeitsteilung nicht mehr vorstellbar – und das Thema Sicherheit macht da keine Ausnahme. ITSicherheit hat eine universelle Relevanz. Hinzu kommen permanente und rasche Veränderungen sowie die rasant wachsende Anzahl und Verschiedenartigkeit von Angriffen. Ein externer Security-Partner ist als Spezialist auf diesem Gebiet in der Lage, Unternehmen vor solchen Bedrohungen nachhaltig zu schützen. Zum Beispiel, indem er Instrumente bereitstellt, die eine höchstmögliche interne Sicherheit garantieren und die insbesondere vor Denial-of-Service-Angriffen (DDoS) schützen. Solche und ähnliche Aufgaben können oder wollen viele Unternehmen oft nicht selbst in die Hand nehmen und konzentrieren sich lieber auf ihre unternehmenseigene Kernkompetenz. So gesehen, kann ein Outsourcing dieser sicherheitsrelevanten Aufgaben durchaus sinnvoll sein. Wenn ich zum Beispiel ein Unternehmen wie T-Systems danach frage, welche Sicherheitsstandards es einsetzt, übergibt man mir eine Liste, auf der mindestens 25 unterschiedliche Normen verzeichnet sind – von Revision und Rechenzentren über Authentifizierung bis zu Identity Management. Ein einzelner Kunde wäre niemals in der Lage, sämtliche Anforderungen zu erfüllen. Das kann nur ein ausgewiesener IT-Provider leisten. Es gibt eine Vielzahl großer, international tätiger IT-Provider im Bereich Cloud Computing. Welche Bedeutung spielt die Größe eines solchen Providers – ganz besonders in Bezug auf die Sicherheit seiner Services? Ohne Frage spielt die Größe des Anbieters eine wichtige Rolle. Das hat damit zu tun, dass nur ein Provider mit entsprechendem Gewicht in der Lage ist, permanent in die neueste Virtualisierung und Cloud-Service-Technologie zu investieren. Das gilt auch für sämtliche Sicherheitsleistungen, die damit zusammenhängen, insbesondere für das Identity & Access Management. Größer bedeutet aber nicht zwangsläufig besser. Viel wichtiger als die Größe des Unternehmens ist sein Gesamtportfolio, speziell was Cloud Computing angeht. Gibt der Provider zum Beispiel eine überzeugende Antwort auf die Frage: Erfüllen Sie alle unserer branchenspezifischen Anforderungen? Es gibt noch zwei weitere Schlüsselkriterien, auf die ich bei der Auswahl achten würde: weltweite Präsenz des IT-Providers und der Standort seiner Rechenzentren. Wo sehen Sie zukünftige Entwicklungschancen im Markt für Sicherheitsleistungen? Auf welchen Gebieten erwarten Sie das stärkste Wachstum? Aktuell sehen wir viel Bewegung auf dem Markt der sogenannten Big Data Analytics. Dabei geht es um die Möglichkeit, sehr unterschiedliche Zusammenstellungen von Daten zu analysieren und herauszufinden, wie sie miteinander korrelieren. Dieser bewegen 17 ICT SICHERHEIT Twin-Core-Strategie für Hochsicherheits-Hosting „Die Annahme, dass man Sicherheit im Nachhinein einbauen kann , ist schlichtweg falsch .“ Bernt Ostergaard, Research Director Current Analysis top se secret top secret Ein hochsicheres Informationssystem ist für das Wertpapiermanagement der Unicredit-Tochter Pioneer Investments in Tschechien unerlässlich. Finanzielle Transaktionen, die auf dem weltweiten Börsenmarkt rund um die Uhr durchgeführt werden, erfordern es, Anwendern eine maximale Ver fügbarkeit ihrer zumeist streng vertraulichen Daten zu gewährleisten. Sowohl das System selbst als auch der Zugriff durch Benutzer müssen zu jedem Zeitpunkt optimal geschützt sein. Die Implementierung strenger Richtlinien zur physischen Verfügbarkeit der IT-Infrastruktur sowie die Verwendung der technisch hochqualifizierten verschlüsselten Kommunikation mit Anwendern sind dabei selbstverständlich. T-Systems hostet die Pioneer-Anwendungen in zwei unabhängigen Datenzentren, die den Zugriff auf die kritischen Anwendungen auch im Notfall unabhängig voneinander über beide Standorte sicherstellen. Dabei beinhaltet die Lösung eine verschlüsselte Ethernet-Datenverbindung zwischen beiden Datenzentren und dem LAN des Kunden, gesichert durch eine weitere unabhängige Internetroute. Zusätzliche Sicherheit bietet eine vorbereitete Datenverbindung zum alternativen Backup-Kundenstandort, der ohne wesentliche Einschränkungen Zugriff auf alle wichtigen gehosteten Systeme und Anwendungen gewährleistet. Kontakt: [email protected] Link: www.pioneerinvestments.de Bereich ist deshalb stark im Kommen, weil Unternehmensgrenzen immer mehr verschwimmen und IT-Abteilungen sich damit konfrontiert sehen, eine immer größere Anzahl verschiedener Endgeräte und mobiler User unter einen Hut zu bringen. In der Konsequenz steigen die Datenmengen, die ein Unternehmen verarbeiten können muss, enorm – und sie werden tagtäglich größer. Big Data Analytics, manchen auch als SIEM (Security Information and Event Management) bekannt, bildet klassisches Kundenverhalten ab. Bei Abweichungen vom allgemeingültigen Muster und damit Hinweisen auf eine mögliche Bedrohung schlägt das System Alarm. Auch hier zeigen sich die Vorteile, wenn man Sicherheitsexperten von außen rechtzeitig einbindet. Diese externen Spezialisten sind in der Lage, Datenströme und verhaltensrelevante Ereignisse quer über alle möglichen Netzwerke und User hinweg zu analysieren. Gerade was Cloud Computing betrifft, muss man hier sehr wachsam sein. Viele CIOs erwarten eine Auslagerung der unternehmenseigenen IT in die Wolke von bis zu 35 Prozent innerhalb der nächsten beiden Jahre. Eine solche Entwicklung bedingt zwangsläufig ein intelligentes Identity and Authentification Management – und hier gibt es noch viel zu tun. unterschiedlichsten Fronten des Cyberkriegs machen Netzkriminellen das Leben zunehmend schwerer. Dabei reichen die Maßnahmen von der Verschlüsselungstechnik bis zum leistungsstarken Security Information and Event Management (SIEM), das auf Basis von Echtzeitforensik, künstlicher Intelligenz und modernsten Data-Mining-Technologien vorbeugende Maßnahmen und wirksame Gegenschritte für Netzattacken findet (siehe Reportage ab Seite 26). Und die Lösungen treffen augenscheinlich auf einen Markt, der dringend auf sie gewartet hat. So sehen IT-Manager Zuwachsraten von 53 Prozent bis 2013 für digitales Rechtemanagement, Risk & Compliance Tools & Co. Darüber hinaus ist auch die Standortfrage ein kritischer Erfolgsfaktor. „Denn nicht nur deutsche IT-Experten“, so Reinhard Clemens, „fordern schon lange und zu Recht eine nach den strengen deutschen Datenschutzrichtlinien umgesetzte Cloud-Lösung.“ Der T-Systems-CEO unterstützt den von der Bundesregierung angestoßenen „Nationalen Plan zum Schutz kritischer Informationsinfrastrukturen“ auch, „weil ICT für die Volkswirtschaft so wichtig ist wie Strom, Wasser und Gas“. Damit sei „Clemens der erste deutsche Topmanager, der sich überhaupt öffentlich für Patriotismus in der IT-Industrie stark macht“, lobte unlängst das Magazin „Wirtschaftswoche“ die vom T-Systems-CEO ausgelöste „heftige Debatte“ über ein europäisches Sicherheitsbetriebssystem. THOMAS VAN ZÜTPHEN INTERVIEW: THOMAS VAN ZÜTPHEN Kontakt: [email protected] Link: www.currentanalysis.com Kontakt: [email protected] Links: www.t-systems.de/video/simko www.t-systems.de/we-enable-security www.t-systems.de/sicherheitsreport-2011 Best Practice 04 l 2011 18 erfahren KONTROVERS ICT SICHERHEIT 360 GRAD ICT-SICHERHEIT Cloud Computing, mobiles Arbeiten und Collaboration erhöhen Produktivität und Wettbewerbsfähigkeit. Unternehmen dürfen sich daher trotz zunehmender Cyberkriminalität nicht abschotten. Mit einem ganzheitlichen Sicherheitskonzept schützen sie Infrastruktur, Anwendungen, Daten und ihre Kommunikation durch einen dreifach gesicherten Korridor – mit kontrolliertem Zugang. ICT-INFRASTRUKTUREN SCHÜTZEN Business Protection Gefahren erkennen und bewerten Oftmals wissen Unternehmen nicht, dass sie Opfer einer Cyberattacke waren. Erst wenn sie eindeutige Schäden feststellen, ergreifen sie Gegenmaßnahmen. Ein Security Information and Event Management (SIEM) übernimmt die Aufgaben eines „IT-Wachschutzes“ rund um die Uhr. Es findet auf Basis von Echtzeitforensik, künstlicher Intelligenz und Data-Mining-Technik vorbeugende Maßnahmen und wirksame Gegenschritte für Netzattacken. Es bewertet Risiken aus Sicht der IT, macht Angriffsversuche transparent und entwickelt Kontrollinstrumente, mit denen sich Gefahren und Lücken frühzeitig erkennen lassen. Datenschutz in der Wolke (ICT Infrastructure Security) In der Private Cloud profitiert ein Unternehmen von allen Sicherheitsmaßnahmen wie beim klassischen Outsourcing. Da im CloudComputing-Rechenzentrum mehrere Unternehmen IT-Ressourcen von denselben Rechnern beziehen, muss verbürgt sein, dass niemand an die Informationen des anderen kommt. Daten und Anwendungen der einzelnen Kunden sind strikt voneinander getrennt. Zu diesem Zweck erhält jeder Auftraggeber für sein Unternehmen einen separaten Zugang zum Rechenzentrum. Auch der Datenschutz muss höchsten Anforderungen entsprechen. Daten in Rechenzentren innerhalb der EU sind durch die europäischen Datenschutzvorschriften besonders geschützt. Mobile Devices sichern Illustrationen: Sascha Bierl (ICT Infrastructure Security) Mobile Datenträger wie Notebook, Smartphone und Tablet-PC sind die am leichtesten angreifbare Informations- und Kommunikationstechnik. Mobile Mitarbeiter greifen unterwegs auf Unternehmensnetze zu, nutzen Geschäftsanwendungen oder speichern Dokumente auf ihren mobilen Festplatten. Zunehmend werden elektronische Identitäten von Smartphones gestohlen, um damit illegal in Firmennetze einzudringen. Für Smartphones und Tablets muss deshalb eine besondere Sicherheits-Policy gelten: Schutz vor unberechtigter Inbetriebnahme mittels PIN/Passwort, die automatische Gerätesperre bei Inaktivität, eine regelmäßige Softwareaktualisierung sowie die Verschlüsselung sensibler Daten – und im Notfall das Remote-Löschen der Daten. Von Vorteil ist, wenn die genutzten Daten und Anwendungen nicht auf dem Gerät, sondern ausschließlich im sicheren Rechenzentrum des eigenen Unternehmens oder eines Cloud-Providers gespeichert werden. Best Practice 03 l 2011 DATE N (ICT Infrastructure Security) D UN KNOW-HOW UND KOMMUNIKATION SICHERN 17 Business Enablement Gegen Innentäter schützen (Identity & Access Management) Fast jedes fünfte Unternehmen hat bereits einen Datenmissbrauch durch Innentäter entdeckt. Trotzdem unterschätzt die Wirtschaft das Risiko durch Insider noch immer. Wer aber Zugriff auf unternehmenskritische Informationen hat, sie ändern oder sogar auslesen darf, könnte aus unterschiedlichen Gründen Interesse an einem Missbrauch von IT-Systemen und Daten haben. Dagegen können sich Unternehmen schützen, indem sie das „Need to know“-Prinzip anwenden: Jeder Mitarbeiter darf nur die Software nutzen und auf die Daten zugreifen, die er für seine Arbeit benötigt. Solche Rollen und Rechte für Anwendungen und Datenzugriffe lassen sich mit rollenbasierten Zugangssystemen festlegen. Grenzüberschreitend zusammenarbeiten (Collaboration) Sich gegen die Außenwelt abzuschotten hat mit der heutigen Wirtschaftsrealität wenig zu tun. Produkte entstehen in Teamarbeit, an der sowohl interne als auch externe Mitarbeiter, Partner und Lieferanten beteiligt sind. Standort- und unternehmensübergreifende Teams können in besonders geschützten Datenräumen zusammenarbeiten. Zutritt bekommen nur eindeutig identifizierbare Personen, die sich mit Passwörtern oder biometrischen Zugangskontrollen gegenüber dem System authentifizieren. Zur Speicherung empfehlen sich Secure Data Container, eine Datenverschlüsselung während der Übertragung und auf den beteiligten Endsystemen. GESCHÄFTSPROZESSE SICHER MACHEN AP PL T IKA Business Integration IONEN Risiken managen (Governance, Risk & Compliance) Unternehmen müssen Know-how, Daten und Geschäftsprozesse schützen. Sie sind zur Einhaltung gesetzlicher Vorschriften verpflichtet und müssen ihre Geschäftsrisiken minimieren. ICT-Sicherheit, Risikomanagement und Compliance gehören daher zusammen. Bilanzgesetze wie der US-amerikanische Sarbanes-Oxley Act und SAS70 oder Normen wie ISO 27001 sind ohne ausreichende ICT-Sicherheit nicht zu erfüllen. Auch branchenspezifische Regelungen wie MARisk aus dem Finanzsektor oder das Energiewirtschaftsgesetz (EnWG) spielen eine Rolle. IT-Manager sehen daher Zuwachsraten von 53 Prozent bis 2013 für digitales Rechtemanagement sowie Risk & Compliance Tools. Sicherheitsbewusstsein schärfen (Security Strategy & Awareness) Firewall, Spamfilter oder Virenschutzprogramme allein greifen zu kurz. Sicherheitslücken entstehen aus Unkenntnis oder aus mangelndem Problembewusstsein. Daher beginnt ICT-Sicherheit in den Köpfen. Unternehmen müssen mit Aufklärungskampagnen und Trainings Management und Mitarbeiter auf den Kampf gegen Cyberwar und IT-Angriffe einschwören. Alle Mitarbeiter sollten ein Grundverständnis für Informationssicherheit haben und Gefahren einschätzen können. Weiterhin gilt es, eindeutige Prozesse zu definieren, an die sich jeder zu halten hat. Diese Sicherheitsrichtlinien und -vorgaben sind nur dann wirksam, wenn Unternehmen ihre Mitarbeiter hierfür motivieren und Fälle von Verstößen konsequent ahnden. Kontakt: [email protected] Links: www.t-systems.de/video/iam www.t-systems.de/we-enable-security Best Practice 03 l 2011 20 erfahren ALLIANZ Moskau Russland SICHERES SPRACH-DATENNETZWERK AUF MPLS-BASIS Polen Warschau Kiew Prag Tschechien Ukraine Slowakei Bratislava Budapest Ungarn Zagreb Kroatien Rumänien Bukarest Sofia Bulgarien Lesen Sie hier … X wie einer der größten Versicherungskonzerne weltweit seine heterogene IT-Landschaft harmonisiert, X wie die Allianz in Mittel- und Osteuropa alle Standorte sicher miteinander verbindet, X wie internationale Tochterunternehmen trotz unterschiedlicher Datenschutzgesetze compliancegerecht arbeiten. Best Practice 04 l 2011 21 Ihre Datenverarbeitung muss den Datenschutzgesetzen in neun verschiedenen Ländern gerecht werden: Olga Przyborowska, CIO Thomas Rüdesheim (Allianz Group Polen) und T-Systems Account Manager Alexander Schweinberger (rechts). NEUN LÄNDER, EIN SICHERHEITSSTANDARD E r hat eine steile Karriere unter den Trojanern hingelegt. Selbst heute, fünf Jahre nach seinem ersten Auftauchen, gilt ZeuS als eines der gefährlichsten Schadprogramme für Onlinebanking. Anfang Februar 2011 klingelten auch bei der ING Bank Śląski in Polen die Alarmglocken. Eine bösartige Variante griff als „Zeus in the Mobile“ (Zitmo) die mobile TANLösung des Finanzinstituts an. Er infizierte Smartphones und versuchte Transaktionsnummern für das Onlinebanking abzugreifen. Ein Schock für die Finanzwelt, denn bis dahin galt das mTAN-Verfahren als sicher. Thomas Rüdesheim bringen solche Meldungen kaum aus der Ruhe. Sicherheitsgefahren aus dem Internet gehören für den Ingenieur und Informatiker zum Arbeitsalltag. Als Chief Information Officer der Allianz Polen setzt er alles daran, die Informations- und Telekommunikationstechnik und die Kundendaten der Allianz vor jeglichen Attacken von innen und außen zu schützen. Gegen den Ruf des „Wilden Ostens“, dass man es in Polen, Tschechien oder der Slowakei weniger genau nehme mit Sicherheitsfragen, wehrt sich der CIO vehement: „Das Risiko ist in Mittel- und Osteuropa nicht höher als in anderen Ländern“, sagt Rüdesheim, der seit 2006 bei der Allianz Polen arbeitet. „Alle Mitgliedsländer der Europäischen Union müssen mit ihren Datenschutzgesetzen die vorgeschriebenen Richtlinien erfüllen, egal ob Spanien, Ungarn oder Dänemark.“ Alles verboten, was nicht erlaubt ist So gilt selbstverständlich auch in Polen das in der EU-Richtlinie zum Datenschutz (DSRil) verankerte Prinzip des „Verbots mit Erlaubnisvorbehalt“. Danach ist alles verboten, was nicht ausdrücklich erlaubt wird. Ein staatlich bestellter Generalinspekteur ist zwischen Krakau und der Ostsee für den Schutz von personenbezogenen Daten zuständig. Gemäß Artikel 40 des polnischen Datenschutzgesetzes besteht Meldepflicht für Unternehmen, die Daten speichern wollen. Wer personenbezogene Daten ins Ausland übermitteln will, muss nachweisen, dass im Zielland zumindest das gleiche Schutzniveau wie in Polen gewährleistet ist. Trotzdem sind die nationalen Unterschiede in einer derart großen Region enorm. Zum Beispiel im Vertragswesen: In einigen Ländern dürfen Verträge in Englisch geschlossen werden. In Russland dagegen müssen die Vertragsparteien einen russischen Vertrag nach russischem Recht in russischer Sprache schließen. Erst dann darf er in die Übersetzung. Wie streng das Thema Datenschutz in der Region zwischen Weichsel, Moldau und Donau gehandhabt wird, kann auch Alexander Schweinberger bestätigen. „Wir haben einige Vor-Ort-Services in der Zentrale der Allianz in Warschau übernommen“, erzählt der bei T-Systems für den Kunden verantwortliche Account Manager. „Im Gebäude gibt es neben dem Versicherungsgeschäft einen Flur, in dem auch Anwendungen für andere Geschäftsbereiche betrieben werden. Die staatliche Regulierungsbehörde hat das Outsourcing für diesen Bereich aber nicht gestattet. Daher mussten wir den Flur komplett aus dem Vertrag rausnehmen.“ Für die Gebäudebereiche, in denen ausschließlich Versicherungs-IT zum Einsatz kam, durfte T-Systems dagegen die Dienstleistungen übernehmen. Das gelegentlich tückische, aber wichtige Klein-Klein der legislativen Vorgaben kennt Thomas Rüdesheim nur zu gut. Gemeinsam mit T-Systems und seinem Team von Sicherheitsexperten hat er heute ein Daten- und TelefonBest Practice 04 l 2011 Fotos: Bogdan Krezel/Visavis/Laif, ddp images/dapd, istockphoto.com Die Allianz SE, einer der größten internationalen Assekuranzkonzerne und Finanzdienstleister der Welt, setzt für ihre Unternehmen in Mittel- und Osteuropa auf einheitliche Standards. Dabei sichert das Unternehmen sein länderübergreifendes Daten- und Telefonnetz mit neuester Security-Technologie. 22 erfahren ALLIANZ netz auf Basis des Internetprotokolls aufgesetzt, das alle Allianz-Standorte in neun Ländern Mittel- und Osteuropas miteinander verbindet. „Doch bis dahin“, erinnert sich der Allianz-CIO, „war es ein langer Weg.“ Zunächst hatten die eigenständig agierenden Unternehmen der Allianz Gruppe mit ihrer historischen Entwicklung zu kämpfen. Als eines der ersten großen internationalen Finanzinstitute hatte die Allianz im Jahr 1989 eine Tochtergesellschaft in Mittel- und Osteuropa gegründet. In Ungarn übernahm der Versicherer die staatlich geführte Assekuranzgesellschaft Hungária Biztosító. Danach ging es Schlag auf Schlag. Russland, Tschechien, Slowakei oder Polen: Heute arbeiten mehr als 25 000 Mitarbeiter in 25 Tochtergesellschaften und elf Märkten bei dem größten ausländischen Versicherer der Region. Homogenisieren und standardisieren In den ersten Jahren galt es für die Allianz, Märkte aufzubauen und sich zu etablieren. Da jede Landesgesellschaft ihr Geschäft selbst verantwortete, blieb zunächst kaum Zeit, sich über länderübergreifende Kooperationen Gedanken zu machen. „Entsprechend heterogen war auch die IT aufgesetzt. Nicht nur im Vergleich zwischen den Ländern, sondern auch innerhalb der Länder selbst“, blickt Rüdesheim auf die Anfangsjahre zurück. Er stieß auf unterschiedlichste Sicherheitslösungen. „Besonders nach Übernahmen gibt es immer für einen gewissen Zeitraum getrennte IT-Landschaften, die die jeweiligen IT-Teams dann integrieren und homogenisieren müssen. An Standardisierung über alle Länder hinweg war damals noch nicht zu denken.“ In der Slowakei hatte die Allianz auf eine dort gebaute und gehostete Sprachlösung gesetzt, während alle anderen Länder die IP-Lösung eines internationalen Anbieters nutzen wollten. Die Herausforderung war nun, diese selbst gebaute, nicht standardisierte Lösung der heutigen Telekom-Tochter (seit 2006) zu integrieren, was die Anforderungen an die Sicherheit erhöht. Inzwischen hat sich das Blatt gewendet. Die Zusammenarbeit zwischen den Ländern kommt allen Tochtergesellschaften zugute. „Wir tauschen regelmä- ßig unsere Best Practices aus, was sich insbesondere in unserem einheitlichen, standardisierten Sprach-Daten-Netzwerk zeigt, zu Effektivitätssteigerung und so unmittelbar zu Einsparungen führt.“ Eine Kommunikationsplattform für die ganze Region In Polen hat die Allianz inzwischen einen IT Security Officer mit einem eigenen Expertenteam in die IT integriert. Es übernimmt in jedem Projekt von Anfang an die Rolle eines Consulting-Partners. Dies garantiert, dass jedes Projekt und jede eingekaufte Lösung von Anfang an die festgelegten SecurityStandards einhält. „Wir sind dann sofort gesetzeskonform und erleben in einem späten Projektstatus keine bösen Überraschungen mehr, die wir ansonsten mit viel Aufwand und Geld nachträglich anpassen müssten“, sagt der CIO der Allianz Polen. Für länderübergreifende Projekte sei es wichtig, mit T-Systems einen Provider zu haben, der alle Standorte abdeckt und die lokalen Besonderheiten kenne, sagt Rüdesheim: „So lassen sich Services leichter länderübergreifend standardisieren. Machen Sie das mit verschiedenen Providern, haben Sie mehr Unschärfen drin. Wir haben heute in unserem Netz einheitliche Standards bezüglich der Servicelevels, der Schnittstellen und der gesamten IT-Sicherheit. Auch wenn Sie neue Anwendungen in mehreren Ländern einführen, geht das über ein Netzwerk und einen Provider reibungslos.“ Nachdem für Mittel- und Osteuropa das sichere Daten- und Sprachnetz steht, arbeiten die IT-Verantwortlichen der Länder aktuell an weiteren Standardisierungs- und Homogenisierungsprojekten. „Wir verfügen nun über eine regionalisierte, standardisierte Security-Lösung und haben eine einheitliche Kommunikationsplattform für die ganze Region. Dies ist für uns eine hervorragende Basis, die Komplexität der IT in anderen Bereichen zu reduzieren“, freut sich Rüdesheim auf die nächsten Schritte. Zusammen mit seinen ITKollegen aus den anderen Landesgesellschaften im Osten Europas will er nun an die ungeheure Software- und Hardware-Vielfalt gehen. ROGER HOMRICH Kontakt: [email protected] Links: www.allianz.de www.t-systems.de/we-enable-security www.t-systems.de/video/security-quality „Wir verfügen über eine regionalisierte, standardisierte Security-Lösung und haben eine einheitliche Kommunikationsplattform für die ganze Region. Dies ist für uns eine hervorragende Basis, die Komplexität der IT in anderen Bereichen zu reduzieren.“ Thomas Rüdesheim, CIO Allianz Group Polen Best Practice 04 l 2011 Fotos: Bogdan Krezel/Visavis/Laif, picture alliance 23 INTERVIEW „FÜR SICHERHEIT ZIEHEN WIR ALLE REGISTER“ Der CIO der Allianz Group Polen über IT-Security als Wettbewerbsfaktor, compliancerelevante Gesetzesunterschiede in West- und Osteuropa und Standardisierung zur Steigerung der Kosteneffizienz. Herr Rüdesheim, werden die Themen Datenschutz und IT-Sicherheit in Mittel- und Osteuropa angemessen ernst genommen? Definitiv! In den EU-Ländern sind die Gesetze inzwischen angeglichen, in manchen Teilen Osteuropas strenger als in einigen westeuropäischen Staaten. Stark ausgeprägt ist der Schutz persönlicher Daten in Polen. Deren Nutzung ist meines Erachtens sogar stärker eingeschränkt als in Deutschland. Ist es für Sie möglich, zentrale Rechenzentren im Ausland aufzubauen? Innerhalb der EU ist die Verlagerung von Daten nicht mehr so problematisch. Für Polen gilt: Das jeweilige Land muss mindestens dieselben Sicherheitsbestimmungen haben wie Polen selbst. Unterschiede bestehen bei der Anmeldung von Datenspeicherung im Ausland. In einigen Ländern müssen Sie den Regulator nur informieren und eine Einspruchsfrist abwarten. Ist diese verstrichen, dürfen Sie die Daten woanders speichern. In anderen Ländern brauchen Sie eine explizite schriftliche Genehmigung. Speziell in der Versicherungsbranche haben die Länder ein relativ angeglichenes Regelwerk. Im Banking sieht es dagegen komplett anders aus. Hier unterscheiden sich die Vorschriften sehr stark. Es gibt Länder, in denen es beispielsweise kaum möglich ist, sein Rechenzentrum in einem anderen Land zu betreiben oder sogar an einen externen Dienstleister zu geben. Warum spielt bei der Allianz Sicherheit eine entscheidende Rolle? Sicherheit ist für jedes Finanzinstitut entscheidend. Dazu gehört auch das Thema Verfügbarkeit und Business Continuity Management. Wir ziehen hierfür alle Register. So arbeiten wir auch in Polen ganz eng mit unserer zentra- len IT in München zusammen. Gemeinsam legen wir Standards fest und geben damit dem gesamten Konzern ein Regelwerk vor. Diese Standards passen wir entsprechend an lokale Gesetzgebungen an. Welchen IT-Risiken ist ein Unternehmen wie die Allianz ausgesetzt? Uns geht es nicht anders als unseren Kunden. Datenverlust ist ein wachsendes Risiko, da Daten einen substanziellen Wert für ein Unternehmen darstellen. Wir müssen die Wertigkeit von Daten innerhalb der Wertschöpfungskette untersuchen. Die Daten, mit denen besondere Risiken verbunden sind, müssen wir mit allen zur Verfügung stehenden Mitteln schützen. Bei unseren Industriekunden untersuchen wir etwa, wie lange sie ohne funktionierendes IT-System weiterarbeiten könnten. Und auch wir stellen uns diese Frage. IT-Sicherheit kostet aber auch viel Geld. Mit wie viel Zurückhaltung sollte man Investitionen planen? IT-Sicherheit darf nicht nur als Kostenverursacher betrachtet werden. Sie stellt einen Wettbewerbsfaktor dar. Zu einer guten IT-Infrastruktur gehören daher drei Dinge: Qualität, Sicherheit und Kosteneffizienz. Erreicht werden diese durch Betriebsgröße sowie durch weitgehende Standardisierung und Automatisierung. Anders gesagt, wir müssen die IT-Infrastruktur weiter industrialisieren, auch für die Allianz-Gesellschaften in anderen Ländern. Dadurch können wir insgesamt die Wettbewerbsfähigkeit der Allianz verbessern. INTERVIEW: ROGER HOMRICH Best Practice 04 l 2011 24 DAS NEUE VIRUS Beim Stichwort „Sicherheit“ denkt Michael Fertik nicht an spektakuläre Hackerangriffe, sondern den steten Tropfen aus vielen kleinen Lecks, die Ruf und Ansehen einer Marke unterhöhlen. Spekulationen und Gerüchte online sind für den Webunternehmer eine der großen Gefahren der vernetzten Wirtschaft. VITA Foto: ddp images/AP Dr. Michael Fertik (33) ist Gründer und CEO von Reputation.com, einem der ersten Anbieter von sogenanntem Online Reputation Management. Der gebürtige New Yorker studierte Jura an der Universität Harvard. Dort promovierte er auch, bevor er sich 2005 als Unternehmer selbständig machte und bislang 25 Millionen Dollar Wagniskapital für seine Firma einwarb. Er ist Mitglied des globalen Themenrats des Weltwirtschaftsforums und Autor des Leitfadens „Wild West 2.0“. Best Practice 04 l 2011 erfahren 25 VORDENKER ichael Fertik verbringt einen Großteil seiner Zeit damit, ande- entwickeln. Zudem glaubt Fertik, dass weder Technologie noch gesellschaftre Spitzenmanager und CEOs von China bis zur Schweiz vor liche Normen oder die Gesetzgebung mit Gerüchten und Spekulationen im M den Fallstricken des Internets zu warnen. Der 33-jährige Netz bislang Schritt halten. „Das ist umso beängstigender, wenn man sich Gründer der Firma Reputation.com meint damit keineswegs überlegt, dass rund 70 Prozent des Marktwerts vom Ansehen einer Marke abViren, Hackerangriffe und Datendiebstahl. Ihn treibt vielmehr hängen“, zitiert Fertik eine Statistik des Instituts Economist Intelligence Unit. die Sorge um, wie ahnungslos oder leichtsinnig viele Wissensarbeiter mit senIm Social-Media-Zeitalter ist das Beobachten des Markenwerts ein weitsiblen Informationen und dem guten Ruf ihres Unternehmens, ihrer Marke gehend automatisierter Prozess, bei dem Software Datenströme verfolgt und oder der eigenen Person umgehen. Dashboards erstellt. Sie fordert Menschen erst zum Handeln auf, wenn ein „Wenn der CEO plötzlich bei LinkedIn oder Xing neue Kontakte eingeht, bestimmter Schwellenwert überschritten wird, der sich aus vielen, sich ständig von einem unerwarteten Ort tweetet oder meine leitenden Angestellten ändernden Faktoren berechnet: Einfluss und Reichweite eines Twitter-Nutzers Schnappschüsse aus Übersee auf Facebook stellen – das sind alles Sicher- im Zeitverlauf, Aktivitäten der Konkurrenz oder Wochentag und Uhrzeit. „Wir heitslecks, die einem Beobachter oder der Konkurrenz verhaben uns in den vergangenen Jahren wie ein Schwerkranraten können, welche Übernahmekandidaten besucht ker verhalten. Erst das Problem geleugnet, dann stellten werden oder wohin die Produktstrategie der Firma sich Unverständnis und Wut ein. Schließlich Fatalismus, „Wer als Unternehgeht“, erklärt Fertik. dass man nichts ändern könne. Jetzt haben Unternehmen Dass sich immer mehr Unternehmen über die erkennt, dass es durchaus Heilungschancen gibt.“ mer nicht weiß, volle Bandbreite der Risiken und Nebenwirkungen Fertik empfiehlt Managern, drei konkrete Schritte im was die Tochter von Social Media und des vernetzten Arbeitens bewusst Voraus zu planen, lange bevor sie ein maßgeschneiderwerden, beschert Fertiks fünf Jahre altem Unternehmen tes Monitoring- und Alarmsystem scharf schalten, das sodes eigenen in Silicon Valley jede Menge Kunden. So sind inzwiziale Netze tagtäglich durchkämmt, wie es früher der Produktmanagers schen ein Drittel seiner Klientel Großunternehmen, TenPressespiegel tat. denz steigend. Reputation.com hat sich darauf speziaauf Facebook Um eine Kaperung der eigenen Marke zu verhindern, lisiert, das Image von Individuen oder Rechtspersonen schreibt, sitzt auf sollte ein Unternehmen möglichst alle Kombinationen online zu verfolgen, zu analysieren und notfalls zu seiner Website aufkaufen, egal wie absurd sie klingen reparieren, indem es Einträge aus Hunderten von Dateneiner Zeitbombe.“ mögen – etwa „FirmaABCistdasLetzte.com“ oder „Killbanken und beliebig vielen Webseiten korrigiert und Dr. Michael Fertik, FirmaABC.com“. Dazu gehören auch Domains mit den entfernt. Diese Vorgänge sind aufgrund der schieren CEO Reputation.com Produkten sowie den Namen der Spitzenmanager eines Menge der in Umlauf befindlichen Informationen weitUnternehmens, die Kritiker sonst anschwärzen könnten. gehend automatisiert worden, sodass ein Mensch überfordert wäre. Das gesamte Management einschließlich seiner Familienmitglieder sollDas Tempo hat selbst Fertik überrascht. Noch 2010 veröffentlichte er ein te sich einer Prüfung seiner Onlinepräsenz und seiner Mitteilsamkeit auf vielbeachtetes Buch namens „Wild West 2.0“, das als Überlebensleitfaden für Verbraucher wie Manager gedacht war. „Vor kurzem konnte man seinen gu- Social-Media-Plattformen unterziehen. Das hört nicht beim Blog des CEOs ten Ruf noch allein verfolgen und reparieren“, sagt Fertik. Nur ein Jahr später auf, sondern sollte auch die Partner, Eheleute und Kinder mit einbeziehen, kann er die Hilfe zur Selbsthilfe nicht mehr guten Gewissens empfehlen. Atta- sagt Fertik: „Wer nicht weiß, was die Tochter des Produktmanagers auf Facecken gegen Marken und Manager sind für ihn die moderne Ausprägung von book schreibt, sitzt auf einer Zeitbombe.“ Computerviren, die ein System in kurzer Zeit lahmlegen können. „Schließlich In einer Welt mit 800 Millionen Facebook-Mitgliedern und 150 Millionen schreibt auch niemand seine Antivirus-Software selbst. Wir mögen die vielen Twitter-Nutzern muss ein Unternehmen kontinuierlich daran arbeiten, kleinen Lecks und Flecken als trivial abtun. Aber sie stehen in nichts den täglichen Angriffen auf die Hardware und Software eines Unternehmens nach. Sie welche Konversationen über seine Marke und Manager bei einer Suche prominent erscheinen. „Man muss lange im Voraus proaktiv denken. Das geht werden nur anders wahrgenommen, weil sie nicht auf der Titelseite landen.“ Die Besorgnis des Harvard-Juristen, der unter anderem beim globalen weit darüber hinaus, negative Inhalten zu entfernen, wie traditionelle PublicThemenrat des Weltwirtschaftsforums für Internetsicherheit verantwortlich ist, Relations-Experten empfehlen“, erklärt Fertik. So kann ein Unternehmen mit hat mehrere Gründe. Da ist einmal die ausufernde Menge an Daten über Per- Werkzeugen wie Suchmaschinen-Optimierung gute Nachrichten über sich sonen, Marken und Firmen, die online eine Art Eigenleben entwickeln, wenn priorisieren – als eine Police gegen künftige Krisen. sie von Algorithmen katalogisiert, neu kombiniert und wie von Geisterhand weiterverbreitet werden. Experten veranschlagen die Menge jährlich erzeug- Wenn sich auch kleinste Details Jahre später noch mit einer einfachen ter und gespeicherter Daten auf 1,8 Zettabyte – was umgerechnet der Spei- Suchabfrage wieder zutage fördern lassen, sollte man meinen, dass Daten und Fakten im Netz ein Verfallsdatum benötigen oder jemand ihre Löcherkapazität von rund 58 Milliarden mittelgroßen iPads entspricht. schung verlangen darf, wie es beispielsweise in der EU diskutiert wird. Im eigenen Interesse Informationsfluss bremsen Doch für Fertik ist das ein rein philosophischer Diskurs, auf den Manager nicht zu viel Zeit verschwenden sollten. „Negative Fakten an sich sind kein „Das Internet ist nicht nur ein wunderbares Werkzeug, sondern gleichzeitig Grund zur Panik. Es kommt immer auf den Kontext an“, gibt er zu bedeneine aus dem Ruder gelaufene Maschine“, sagt Fertik. „Generell glauben al- ken. „Wenn Informationen an einem obskuren Ort verborgen sind oder von le Teilnehmer einer Marktwirtschaft, dass man Barrieren entfernen und alles positiven Dingen an den Rand gedrängt werden, sodass sie nicht mehr auf immer effizienter machen muss, insbesondere den Informationsfluss. Aber den ersten paar Seiten der Google-Suche auftauchen, dann reicht das ich sehe das nuancierter. Viele Informationen müssen nicht so reibungslos völlig.“ Das ist die wohldosierte Prise Sand im Getriebe der hypereffizienwie möglich fließen, sondern wir sollten darüber nachdenken, mit Technik ten Informationsgesellschaft. STEFFAN HEUER und menschlichen Entscheidungen gezielt Sand ins Getriebe der Informationsgesellschaft zu streuen“, sagt Fertik. So können Tweets vor der Bekanntgabe der Quartalszahlen oder einem geplanten Börsengang rechtliche Folgen haben oder die wohlmeinenden Links: www.reputation.com www.t-systems.de/markenwelt E-Mails eines Vorstands an einen Kunden plötzlich ein ungeahntes Eigenleben 1. 2. 3. Best Practice 04 l 2011 26 erfahren REPORTAGE n Deutschland und vo n rte pe -Ex ity ur ec s-S tem ys T-S en ier Täglich koordin aus dem Web 2.0. n ke tac At e eit ltw we n ge ge n me ah ßn Ungarn aus die Ma r Emergency ute mp Co s da tzt hü sc ge eu rkz we se aly Mithilfe modernster An davor, von Eindringlingen en nd Ku r ine se IT die T) ER (C am Te se Respon braucht zu werden. ss mi ke ec Zw e ihr für d un n hle sto be lahmgelegt, DENKEN UND HANDELN WIE EIN ANGREIFER Best Practice 04 l 2011 27 Best Practice 04 l 2011 Fotos: Natalie Bothur M T-Systems gency Response Team (CERT) von Hochkonzentrier t. Im Computer Emer en Sucharkiewicz bis zu mehrere Stund durchforstet der Müns teraner Jakub nern wie „Beast“, „Flux Bluster“ & Co. Logdaten auf der Suche nach Troja 11.57 Uhr ünster/Westfalen, 1. Oktober, Bis kurz vor Mittag ist es für Jakub Sucharkiewicz ein ganz normaler Freitag: mit Kaffee auf dem Schreibtisch und in den Augen die Vorfreude aufs Wochenende – als das Telefon klingelt. Am anderen Ende der Leitung informiert den 27-jährigen T-Systems-Informatiker ein Kollege aus dem konzerneigenen Rechenzentrum über ein „Vorkommnis auf dem Server eines Großkunden“. Es gehe um einen Rechner für einen bayerischen IT-Dienstleister. Statt planmäßig dessen Kundendaten zu verarbeiten, versende er Millionen von Mails mit Betreffzeilen wie „You have a private message from Christina“ oder „Check out my new photos“ oder „I’m back in town – Natalie“. Der Angreifer melde sich über eine verschlüsselte SSH-Verbindung aus Rumänien, seine Mail-Absenderadressen seien sicherlich gefälscht. „Wir haben den Trojaner gekillt und brauchen eine forensische Analyse von dir“, bittet der Gesprächspartner, den es besonders interessiert, „durch welchen Zugang der Täter eingedrungen ist“. Sucharkiewicz verspricht: „Mache mich sofort an die Arbeit.“ Sein T-Shirt mit der Aufschrift: „WE COME IN PEACE 27 C3“ weist ihn als Teilnehmer der 27. Konferenz des Chaos Computer Clubs aus. Dem Stil der Hackerszene entsprechend, kann Sucharkiewicz dem digitalen Kräftemessen durchaus eine sportliche Seite abgewinnen. „Und genau so muss es sein“, sagt René Reutter, Abteilungsleiter ICT-Sicherheit bei T-Systems in Darmstadt. „Denn wer seine ICT schützen will, muss wie ein Angreifer denken und handeln.“ „Joda“, „Yeti“ oder „Platon“ etwa sind solche Angreifer, mit denen es Reutters Mitarbeiter Sucharkiewicz zuletzt zu tun hatte. Spitznamen, die er seinen Gegnern gibt, vor allem wenn sich deren Angriffe über lange Zeit hinziehen oder er das Gefühl hat: „Den kenn’ ich!“ Ob rumplige „Bruteforce“-Attacken oder unauffällige „Targeted Attacks“, an der Handschrift können Security-Incident-Handler wie Sucharkiewicz schon erkennen, mit wem sie es zu tun haben. Geht der Angreifer nach der Holzhammermethode vor, mit „lautem Getöse“ – im Klartext: vielen Logs, die er erzeugt – beim Versuch, die Passwörter seiner Opfer zu knacken, oder versucht er geräuschlos Trojaner in ein System zu schleusen – für den „Vorfall-Koordinator“ Sucharkiewicz sind die Täter „in erster Linie kriminell. Aber sie sind nicht selten auch Dienstleister und arbeiten nach einem klaren Geschäftsmodell. Und uns misst man daran, wie schnell wir darauf reagieren und das Problem nachhaltig lösen.“ 28 erfahren REPORTAGE Die Probleme heißen zum Beispiel „Rbot“ oder „Beast“, „Flux“, „MiniMO“ oder „Bluster“, und mit ihnen führen Hacker gern ihre erste Angriffswelle. Die Trojaner im Dienst zumeist gut organisierter Angreifer attackieren mit ausgeklügelter Schadsoftware ausgesuchte Computersysteme in Unternehmen, Behörden und Regierungsstellen. „Ihr Auto muss zur Inspektion“ etwa ist eine Betreffzeile, auf die hin nicht wenige Adressaten eine mutmaßliche Mail ihrer Vertragswerkstatt gutgläubig öffnen – und im selben Moment haben sie ihren Rechner infiziert. Mit weitreichenden Folgen für die vernetzte Gesellschaft: „Die Dunkelziffer von kritischen Security Incidents ist hoch und steigt stetig. Viele Unternehmen melden diese Angriffe nicht, weil sie einen Reputationsverlust fürchten“, erläutert René Reutter. In einem virtuellen „War Room“ koordinieren über Deutschland verteilte T-Systems-Strategen die Aktivitäten gegen komplexe Cyberangriffe. Darüber hinaus gibt es ein großes Security Operation Center (SOC) in Budapest, das ICT-Systeme rund um die Uhr überwacht. Denn im Cyberkrieg um die Macht über die Rechner kann jeder zum Opfer werden. „Die Bedrohungssituation des Jahres 2011 ist geprägt von Chaos und Veränderung“, verweisen etwa die US-Sicherheitsexperten der McAfee Labs auf spektakuläre Angriffe sogenannter Hacktivisten. „Eines ist jetzt schon deutlich: Unternehmen jeder Größe sind erheblich verwundbarer, als man hätte glauben mögen“, lautet das Fazit der Forscher in Diensten des Chipriesen Intel. Diese schmerzliche Erfahrung machte Ende 2010 der Zahlungsdienstleister Paypal, der sich sicher wähnte vor sogenannten Denialof-Service-Attacken. „Das Unternehmen musste erfahren, dass man es ‚dossen‘ kann“, verfällt Sucharkiewicz in den Jargon der Hackerszene. Auch der amerikanische IT-Sicherheitsdienstleister EMC/RSA war betroffen und musste nach einer erfolgreichen Attacke rund 40 Millionen seiner Einwahlschlüssel austauschen, von Kennern „Tamagochi“ genannt. 12.48 Uhr Nun hat es also das bayerische IT-Unternehmen getroffen. Eine Überprüfung der betroffenen Festplatte zeigt, dass der Angreifer den E-Mail-Server eines Kunden der Firma gehackt hatte. Von dort aus hatte er sich bereits zwei Wochen zuvor auf dem Server eingeloggt und einen Trojaner installiert. Der blieb – vom Angreifer nicht aktiviert – Kunden die Immer erreichbar. 24 Stunden an sieben Tagen der Woche können T-SystemsIncident-Handler des ICT-Dienstleisters um Unterstützung bitten. erst einmal einige Tage unauffällig. „Die Täter haben Zeitpläne, nach denen sie ihre Mailaussendungen takten“, erläutert der T-Systems-Experte das Geschäftsgebaren des Kontrahenten. „Sie legen sich einen Vorrat an gehackten Servern an, um jederzeit einen Auftrag ausführen zu können.“ 13.57 Uhr Ein näherer Blick auf die Datenströme zeigt, dass der Eindringling Benutzername und Kennwort auf Anhieb korrekt eingab. „Er hatte keinen Fehlversuch, dabei war das achtstellige Passwort kryptisch und zufällig generiert“, analysiert Sucharkiewicz. „Das ist nur möglich, wenn ihm die Daten bekannt waren.“ Wie eine Recherche im Netz zeigt, ist der gehackte Mailserver mitsamt funktionierender Benutzername-Passwort-Kombination in der Szene bereits publik. Seine Zugangsdaten hatte der Hacker in einem der einschlägigen Spammer-Foren „free for all“ gestellt. Fortan diente der schutzlose Rechner tagelang gleich mehreren Angreifern als Spamschleuder, über die millionenfach Mails verschickt wurden, bis der Rechner verstopfte. Dabei sind es zumeist illegale Firmen wie etwa Anbieter von gefälschten Pharmaprodukten, die über passwortgeschützte Online-Stores, quasi die Schwarzmärkte der Spammer-Szene, Adresspakete und Spam-Versandleistungen kaufen. Häufig steckt das Ziel dahinter, Falsifikate von Markenprodukten oder falsche Versprechungen zu verkaufen oder beides. Placebos von Viagra zum Beispiel. Wo Daten als Hökerware verschachert werden, so Sucharkiewicz, „gibt es 10 000 Adressen schon für zwei Euro“. gekillt ist, hat der Täter mindestens sechsmal vergeblich versucht, sich unter gleichem Namen und Passwort einzuloggen“, sagt der Experte. Und zwar in völlig unregelmäßigen Abständen. „Das spricht dafür, dass er wirklich manuell vorgeht.“ Best Practice 04 l 2011 Fotos: Natalie Bothur 15.23 Uhr Während er zum Kaffee greift, registriert Sucharkiewicz neuerliche erfolglose Attacken. „Seitdem der Trojaner 29 Überraschenderweise sind steigende Angriffszahlen für René Reutter nicht nur ein Grund zur Besorgnis. „Die Anzahl steigt exponentiell, dies liegt aber auch daran, dass viele Firmen mehr in Sicherheit und Datenschutz investieren und diese Angriffe nun überhaupt erst erkennen“, erläutert er. Auf die Herausforderungen reagiert T-Systems mit innovativen Früherkennungsmethoden. Echtzeitforensik, Künstliche Intelligenz und modernste Data-Mining-Techniken strukturieren und korrelieren Daten und spielen für die Früherkennung von Angriffen durch die SIEM-Systeme (Security Information & Event Management) eine entscheidende Rolle. Ähnlich wie in der Klimaforschung können Reutter, Sucharkiewicz und ihre Kollegen so Lagebilder modellieren, um auch neue Angriffe zu erkennen und Abwehrstrategien zu entwickeln. 16.56 Uhr Mit Sicherheitstools wie „Rootkit Hunter“ überprüft Sucharkiewicz, ob der Hacker Hintertüren angelegt hat, durch die er bei Bedarf seine Spamattacke wiederholen könnte. Doch die Suchprogramme finden zunächst nichts. 17.30 Uhr Zeit für eine Telefonkonferenz. Zugeschaltet sind neben dem IT-Chef des betroffenen Unternehmens auch Mitarbeiter aus dem Rechenzentrum. Gleich zu Beginn der Konferenz erkundigt sich der Kunde nach der Schwachstelle: „Ich will genau wissen, wie die Passwörter nach außen gelangen konnten!“ Ruhig und sachlich erläutert Sucharkiewicz den Rechercheweg und trägt seine vorläufigen Ergebnisse vor. Demnach habe der Täter nicht versucht, Daten zu entwenden. Hintertüren habe er augenscheinlich nicht hinterlassen. Vollständige Sicherheit gebe es allerdings erst, nachdem er die komplette 300-Gigabyte-Festplatte forensisch untersucht habe. Das Security Operation Center in Budapest wird über das Wochenende kontrollieren, ob der Rechner nun normal arbeitet. Andernfalls werden die Kollegen die Rufbereitschaft des deutschen T-Systems-CERT alarmieren, sagt Sucharkiewicz. „Also mich.“ Weltweit reicht das Netz, in dem die europäischen CERT-Units der Telekom-Tochter Attacken auf die Daten der T-Systems-Kunden erfolgreich abwehren können. Best Practice 04 l 2011 30 Bei Großangriffen oder hartnäckigen Attacken arbeiten die „VorfallKoordinatoren“ des CERT vielfach im Team mit mehreren Cyber-Abwehrspezialisten. Der freitägliche Angriff ist aus Sicht der Beteiligten glimpflich abgegangen. So eine Attacke komme durchschnittlich einmal wöchentlich vor, sagt der Experte, denn eigentlich seien Spams ein Auslaufmodell. Weltweit ging ihre Zahl seit Juli 2010 nach einer Hochrechnung von McAfee von täglich fünf Billionen auf rund zwei Billionen zurück. Für Deutschland errechnen die Forscher einen Rückgang von etwa 350 Millionen auf unter 100 Millionen. Hingegen nimmt die Zahl der vorhandenen Malware monatlich um fast zwei Millionen Schadprogramme zu, insbesondere Schadsoftware, die auf ganz konkrete Ziele in Firmen individuell zugeschnitten wird. 18.28 Uhr Noch ein letzter Scanlauf, und dann will der Münsteraner nach Hause fahren. Kein Vergleich zum brutalen Angriff auf die IT eines Großkonzerns vor einem Jahr, der das Team zwei Monate lang in Atem hielt. In vier Wellen rollte damals die „Targeted Attack“ an – und zwar stets zwischen drei Uhr nachts und elf Uhr vormittags. „Zur besten Bürozeit in Fernost“, grinst der Mann im schwarz-grünen T-Shirt. Denn am identifizierten Ausgangspunkt der Attacke, sechs Zeitzonen östlich vom westfälischen Münster, liefen die Angriffe zwischen 9 und 17 Uhr. 19.03 Uhr In dem Moment klingelt wiederum das Telefon. Am Apparat ein Anrufer aus der IT eines Großkunden in Benelux. „Hi there“, begrüßt er Sucharkiewicz, während der die Kopie der Festplatte startet. „Erinnerst du dich noch an unseren Hackerfall aus dem vergangenen Jahr ? Uns sind heute verdächtige Zugriffsversuche aufgefallen. Die per Mail eingeschleuste Malware wird zu Spionagezwecken eingesetzt und wurde von unseren Virenscannern und Spamfiltern nicht erkannt.“ Sind es wieder die Angreifer aus Fernost? Sucharkiewicz seufzt und macht es sich noch einmal auf seinem Drehstuhl bequem. MATT SLOAN Kontakt: [email protected] Links: www.t-systems.de/we-enable-security www.t-systems.de/video/cyberwar Fotos: Natalie Bothur, T-Systems Erfolgreiche Verführung Für die proaktive Abwehr von Cyberattacken nutzt die Telekom innovative Auswertungssysteme, die neben SIEM-Systemen auch „Honeypots“ und „E-Mail-Köderboxen“ umfassen. So kommen die Sicherheitsspezialisten neuen Angriffsmethoden und Werkzeugen schneller auf die Spur. Unter den mehreren hunderttausend Angriffen allein auf die Telekom-Honeypots identifizieren die Experten so monatlich Tausende neuer Rootkits, Würmer, Viren und Trojaner. Best Practice 04 l 2011 Update im War Room. Täglich koordiniere n die Spezialisten des internationalen CERT Incidents, um die Daten, Anwendungen -Teams ihre Maßnahmen gegen Security und Server ihrer weltweiten Unternehm enskunden zu schüt zen. erfahren 31 REPORTAGE INTERVIEW „IMMER EINEN SCHRITT SCHNELLER“ René Reutter, Abteilungsleiter ICT-Sicherheit bei T-Systems, verantwortet unter anderem das Situation Center, die fachliche Steuerung von Experten des Security Operation Center sowie das Computer Emergency Response Team. Im Verbund koordiniert die Eingreiftruppe die Reaktionen auf Eindringlinge in den ICT-Architekturen von Kreditinstituten, Fondsgesellschaften, Autobauern, Logistikern und anderen Auftraggebern. Die Bandbreite reicht vom traditionellen Mittelständler bis hin zum internationalen Konzern. Wie viel neue Schadsoftware bedroht täglich die IT der Unternehmen? Hacker sind daran interessiert, noch unbekannte Schwachstellen in Software, Systemen und Geräten herauszufinden. Diese Schwachstellen werden dann als Entry Point verwendet, um in ein System einzudringen, es zu kompromittieren oder Downtime zu verursachen. Täglich beobachten wir 50 000 bis 60 000 Varianten von Schadsoftware. Die Tendenz ist stark steigend, und das Wachstum erfolgt sprunghaft und nicht linear. Besonders auffällig ist, dass neuartige Schadprogramme immer häufiger ganz speziell auf Unternehmen und Personen zugeschnitten sind, um digitale Datenspionage zu betreiben. Wie reagiert die Sicherheitsorganisation von T-Systems auf die Bedrohung? In der Produktion von T-Systems arbeiten mehr als 600 Sicherheitsexperten nach dem Grundsatz „Security & Privacy by Design“. Das bedeutet, dass Sicherheitslösungen architektonisch so konzipiert werden, dass bei einer Änderung der Security Policy nicht sofort ein neues Produkt gekauft werden muss. Wir suchen daher unsere Lösungen so aus, dass sie möglichst flexibel sind und Kundenanforderungen nach der Prämisse „Technik folgt der Security Policy“ erfüllen. Dies hat den Vorteil, dass wir ein bedarfsgerechtes Sicherheitsniveau anbieten können und dennoch einen hohen Standardisierungsgrad haben. Zusätzlich werden bekannte Schwachstellen systematisch erfasst und bewertet, um dann weitere bedarfsgerechte Maßnahmen für den jeweiligen Bereich abzuleiten. Ein qualitativ hochwertiges Asset Management ist daher erfolgskritisch. Sicherheitsexperten nutzen auch die innovativen Methoden des Fuzzing, um Schwachstellen und Robustheitsprobleme in Software aufzudecken. Warum sind Firewall-Systeme an den Außengrenzen des Netzwerks nicht ausreichend? Wer Schaden von seiner Informations- und Kommunikationstechik abwenden möchte, muss wie ein Angreifer denken und handeln. Viele Unternehmen konzentrieren sich stark auf Perimetersicherheit, die praktisch die Außengrenzen eines Unternehmens schützt. Dabei wird die Kontrolle des Innenlebens ihrer IT oft vernachlässigt. Bedarfsgerechter Schutz entsteht aber nur, wenn die einzelnen Sicherheitsbausteine optimal im Unter- „Wer bei der Prävention morgen noch zur Avantgarde gehören will, muss an vorderster technologischer Front arbeiten.“ René Reutter, Leiter ICT-Sicherheit bei T-Systems nehmensnetzwerk verteilt sind, intelligent zusammenarbeiten und die wirklich sicherheitsrelevanten Vorfälle mit hohem Automationsgrad aus der Datenflut herausgefiltert werden. Was macht Cyberangriffe erst möglich? Häufigstes Versäumnis ist es, wenn Sicherheitseinrichtungen im Unternehmen nicht ausreichend dynamisch an neue Angriffsmethoden angepasst sind. Denn wir haben es fast wöchentlich mit neuen Angriffsmethoden zu tun und müssen immer einen Schritt schneller sein. Viele diskutieren im Web 2.0, welcher Virenschutzhersteller die Nase vorn hat. Dabei übersehen sie, dass Angreifer durch Ausnutzung von Schwachstellen privilegierte Rechte erhalten und sogar Virenschutzprogramme aushebeln können. Nur große Organisationen können das komplexe Expertenwissen vorhalten, um darauf geeignet zu reagieren. Zudem lässt der ausschließliche Blick auf das Kerngeschäft den Datenschutz und die ICT-Sicherheit bei zahlreichen Unternehmen vielfach in den Hintergrund rücken. Mittelständische Unternehmen haben meist größere Defizite als multinational agierende Großunternehmen mit eigener Sicherheitsorganisation. Übrigens: Schwachstellen entstehen auch, wenn es punktuelle Ausnahmeregelungen für das Topmanagement gibt. Müssen wir uns an Viren und Malware ebenso gewöhnen wie an Grippewellen, oder ist ein digitaler Impfschutz in Sicht? Ein generisches „Rundum-Sorglos-Paket“ wird es nicht geben, denn immer neue Schwachstellen in Applikationen und Betriebssystemen führen dazu, dass Angreifer oftmals sogar Schutzprogramme aushebeln können. Man kann aber durch ein geeignetes Systemdesign solche Attacken in vielen Fällen frühzeitig erkennen. Grundsätzlich gilt: Wissen ist die beste Verteidigung. Wer seine ICT schützen will, muss wie ein Angreifer denken und handeln. Nichts offenbart Systemschwachstellen schneller und zuverlässiger als ein regelmäßiger Wechsel der Perspektive. Bedarfsgerechter Schutz entsteht, wenn sicherheitsrelevante Vorfälle automatisch aus der Datenflut herauskristallisiert werden. Wer bei der Prävention morgen noch zur Avantgarde gehören will, muss an vorderster technologischer Front arbeiten – egal, wie aggressiv künftige Angriffsszenarien auch sein mögen. INTERVIEW: MATT SLOAN Best Practice 04 l 2011 32 SICHERHEIT NEU DENKEN! Wirtschaftsleben und Consumer-Welt werden zu einer vernetzten Informations- und Wissensgesellschaft. Dabei kommt nicht nur immer neueren, sinnvollen und erfolgsversprechenden Technologien eine besondere Bedeutung zu. Sondern auch, so der Fachbuchautor und Informatikprofessor Dr. Norbert Pohlmann, unserem nötigen – und möglichen – Vertrauen auf Sicherheit. Best Practice 04 l 2011 erfahren 33 GASTBEITRAG J e wertvoller Daten werden, die als Bits und Bytes zur Verfügung stehen, desto größer ihre Abhängigkeit von sicheren IT-Dienstleistungen aus dem Netz. Aus zwei Gründen: Die möglichen Angriffsflächen werden immer breiter und vielfältiger. Und die Ausführung von Attacken – auch auf die Verfügbarkeit der IT-Systeme – stetig verteilter, raffinierter und professioneller. Zugleich erfährt IT-Kriminalität eine zunehmende Industrialisierung und erlangen mögliche Schäden eine kaum zu überschätzende Nachhaltigkeit. Die Anforderung an Individuen und Organisationen, Unternehmen und Behörden, ihre Daten und damit ihre Werte zu schützen, ist höher als je zuvor. Die Software stellt in allen Branchen einen anhaltend größeren Wertschöpfungsanteil dar. Wir nutzen sie in PCs, Notebooks, Smartphones, aber auch immer mehr in Autos, Industrieanlagen oder Kühlschränken. Eine gute Software erreicht ein hohes Maß an Qualität, wenn alle Funktionen korrekt und zuverlässig arbeiten. Eine schlechte Software hingegen hat viele Schwachstellen und ist damit einfach anzugreifen. Die Ursachen für leicht angreifbare Software sind zum Beispiel steigende Komplexität, kein Sicherheitsbewusstsein sowie fehlende Expertise der Entwickler. Oder einfach nur der Zeitdruck für die Fertigstellung. Die Hersteller arbeiten daran, die Anzahl der Schwachstellen in ihrer Software zu minimieren. Aber die Angreifer machen zurzeit einen besseren Job. Aus heutiger Sicht ist festzustellen, dass sich dieser Zustand nicht kurzfristig ändern wird, das heißt, die Fehlerdichte von Software wird zwar kleiner, Fehlerfreiheit ist aber nicht erreichbar. Die kleiner werdende Anzahl der Softwareschwachstellen wird gleichwohl wegen der professionelleren Nutzung durch kriminelle Organisationen immer bedrohlicher. Angriffsvektor: Malware Angreifer verfolgen im ersten Schritt gern das Ziel, „Schadsoftware“ wie Viren, Würmer, trojanische Pferde durch Softwareschwachstellen auf IT-Endgeräte zu schleusen. Diese Malware wird zum Beispiel über E-Mail-Anhänge oder Webseiten mit Schadkode, auf denen die Nutzer surfen, unbemerkt auf deren Endgeräten installiert. Wir gehen davon aus, dass aktuell auf jedem 25. IT-Endgerät ungewollte Malware vorhanden ist, die über ein Botnetz gesteuert wird. So können Angreifer nicht nur die Devices von Unternehmen für die Spam-Verteilung einsetzen und so für DDoS-Angriffe (Distributed Denial of Service) auf andere Adressaten nutzen. Mit gleich zwei Effekten: Die IT-Systeme anderer Netzwerke oder Organisationen werden unter Umständen komplett lahmgelegt und die Spuren zur möglichen Rückverfolgung der Täter verschleiert. Viel gefährlicher kann es werden, wenn IT-Kriminelle Informationen von unseren Endgeräten auslesen (Keylogger) und Software oder Daten unbrauchbar machen. Zurzeit liegt die Rate der Attacken, die von Anti-Malware-Produkten erkannt werden, nur bei 75 bis 90 Prozent! Fotos: F1 online, privat Quantensprung von Angriffssoftware: Stuxnet Cyberwar wird eine immer realere Bedrohung in Form von gezielten Angriffen auf kritische Infrastrukturen. Neben den DDoS-Angriffen auf Server der Regierung von Estland ist unlängst „Stuxnet“ als eine weitere potenzielle Bedrohung von Staaten bekannt geworden. Unter dem Namen wird ein Botnet mit einer qualitativ sehr hochwertigen Malware verstanden, die speziell für Produkte zur Überwachung und Steuerung technischer Prozesse (SCADA/Supervisory Control and Data Acquisition) entwickelt wurde. Es wird spekuliert, dass diese Malware mit dem Ziel geschrieben wurde, die Leittechnik einer Anlage zur Urananreicherung im Iran zu sabotieren. Damit hat Stuxnet eine neue Qualität an Malware eingeleitet, die sehr viel intelligenter ist, viel gezielter vorgeht und vor allem einen sehr viel größeren Schaden anrichten kann. Stuxnet markiert den Startpunkt der Entwicklung von qualitativen Cyberwaffen, die Industrien und Infrastrukturen ganzer Länder lahmlegen können. Trends in der IT-Sicherheit Die zunehmende Vielfalt unserer IT-Endgeräte braucht deutlich verlässlichere und wirkungsvollere Sicherheitskonzepte. Wir müssen weg von den reaktiven hin zu aktiven Sicherheitssystemen, die eine Ausführung von Malware verhindern können. Solche aktiven Sicherheitssysteme arbeiten mit einem Sicherheitskern und Virtualisierung, können Software messbar machen und, mit einer starken Isolation, Daten und Anwendungen – und damit den Werten auf unseren Endgeräten – nachhaltige Sicherheit bieten. Außerdem geht der Trend fort von der Perimetersicherheit, mit der Unternehmen bislang versuchten, mehr oder weniger erfolgreich ihre IT-Außengrenzen abzuschotten. Stattdessen wird eine domänenorientierte Objektsicherheit Raum greifen, bei der die Objekte mit Rechten versehen werden, die definieren, wer sie in welcher IT-Umgebung wie nutzen darf. Für beide Trends muss die Softwarearchitektur der IT-Endgeräte allerdings grundlegend anders aufgebaut sein als bisher. Außerdem müssen SicherheitsInfrastrukturkomponenten aufgebaut werden, damit diese Technologien organisationsübergreifend genutzt werden können. Auf der Forschungsebene stehen innovative Sicherheitssysteme, zum Beispiel die Open-Source-Technologie Turaya, schon länger zur Verfügung. Die ersten IT-Sicherheitsunternehmen bieten bereits ausgereifte Produkte. Jetzt wird es Zeit, dass diese von der Industrie eingeführt werden, damit eine höhere Sicherheit und Verlässlichkeit der IT-Endgeräte erzielt werden kann. Sichere Compliance in der Cloud Grundsätzlich ist Cloud Computing eine sehr einfache, preisgünstige Alternative für den dynamischen IT-Leistungsbezug. Vor allem aber sind einige Compliance- und Sicherheitsaspekte in der Regel effektiver in Cloud-Umgebungen umzusetzen, als die IT-Ressourcen in vielen Unternehmen selbst das je leisten könnten. Sehr wichtig ist, dass sich die Unternehmen dafür den richtigen, vertrauenswürdigen Anbieter aussuchen. Denn natürlich gibt es eine Abhängigkeit vom Dienstleister, die Auswahl ist entsprechend wichtig. Zum Beispiel muss jedem Unternehmen klar sein, dass amerikanische Cloud-Dienstleister laut USA Patriot Act dazu verpflichtet sind, Daten an ihre Regierung weiterzugeben, auch wenn diese das ohne richterlichen Beschluss anfragt, auch wenn die Rechenzentren in Europa stehen. Insofern kommt dem Standort sowie den Besitzverhältnissen von Rechenzentren besondere Bedeutung zu, in denen Provider ihre Clouds buchstäblich beheimaten. NORBERT POHLMANN Kontakt: [email protected] Links: www.it-sicherheit.de www.internet-sicherheit.de www.t-systems.de/we-enable-security VITA Prof. Dr. Norbert Pohlmann Der geschäftsführende Direktor des Instituts für Internet-Sicherheit an der FH Gelsenkirchen ist seit 2003 Professor für Verteilte Systeme und Informationssicherheit im Fachbereich Informatik und Autor mehrerer Fachbücher. Best Practice 04 l 2011 34 erfahren KONTROVERS INNENTÄTER REIZ DER VERSUCHUNG Wenn Unternehmen Daten und Know-how gestohlen wird, haben zumeist eigene Mitarbeiter die Finger im Spiel. Unter dem Eindruck der Cyberkriminalität wird das Innentäter-Risiko unterschätzt. V errat von Geschäfts- und Betriebsgeheimnissen, Urheberrechtsverletzungen oder Wirtschaftskriminalität durch eigene Mitarbeiter? Gibt es bei uns nicht!“ Diese in vielen Unternehmen verbreitete Haltung ist sehr riskant. Auch wenn die Schäden in den Unternehmen insbesondere durch die hohe Dunkelziffer nur schwer abschätzbar sind, wäre es doch fatal, jegliches Risiko im eigenen Haus zu ignorieren. Denn sogenannte Know-how-Abflüsse gibt es häufiger, als man denkt. Eine vom Sicherheitsforum Baden-Württemberg (SiFo) in Auftrag gegebene und von der School of Governance, Risk & Compliance der Steinbeis-Hochschule Berlin erstellte Studie ergab: • Die am meisten verbreitete Form der Wirtschafts- und Industriespionage war der Verrat oder das Ausspähen von Geschäfts- und Betriebsgeheimnissen. Die Hauptziele der Täter lagen in den Bereichen Produktion und Fertigung (19 Prozent) sowie Forschung und Entwicklung (F&E, 14 Prozent). • Sowohl forschungsintensive (24 Prozent) als auch nicht forschungsintensive (32 Prozent) Unternehmen waren spürbar von Wirtschaftskriminalität (Unterschlagung, Untreue, Betrug) betroffen. • 38 Prozent der Unternehmen, insbesondere im Bereich intensiver F&E, sahen sich in den vergangenen vier Jahren Urheberrechtsverletzungen ausgesetzt. Doch wer sind die Täter? – Die meisten Unternehmen machen die gleiche nüchterne Erfahrung: Die Mehrheit der Täter stammt aus dem Kreis der eigenen Mitarbeiter, und zwar unabhängig von Tätigkeit und Hierarchiestufe! Einem Großteil der Personen hätten weder Vorgesetzte noch Kollegen die Tat zugetraut. Dabei begegnet man, wenn es um sicherheitsrelevante Informationen geht, neuen Mitarbeitern und Managern mit größerer Vorsicht als langjäh- rigen Kollegen. Das ist nachvollziehbar, aber laut Studie nicht begründet. Im Gegenteil: Gefahren drohen Unternehmen weniger von neu eingestellten Mitarbeitern als von Personen, zu denen aufgrund langjähriger Betriebszugehörigkeit ein Vertrauensverhältnis besteht. So ist der typische Innentäter sozial unauffällig, im Durchschnitt etwa 40 Jahre alt, männlich, überdurchschnittlich gebildet und gehört dem Unternehmen seit zehn Jahren an. Das heißt nicht, dass man langjährigen Unternehmensangehörigen ein generelles Misstrauen entgegenbringen sollte. Dies könnte sich nach Forschungen zur Arbeitspsychologie sogar als kontraproduktiv erweisen. Aber umgekehrt ist ein besonderer Vertrauensbonus gegenüber bestimmten Mitarbeitergruppen auch nicht angezeigt. Stattdessen empfiehlt unsere Studie konkret drei Maßnahmen: die Schulung der Belegschaft, um ein Problembewusstsein zu schaffen und für Akzeptanz der Kontroll- und Präventionsmaßnahmen zu werben, die Entwicklung und Kommunikation eines Sicherheitskonzepts sowie die Einrichtung der Funktion eines „Beauftragten für Know-how-Schutz“ als Ansprechpartner für alle Unternehmensangehörigen. Daraus ergibt sich eine Frage, die sich jedes Unternehmen dringend stellen sollte: Wann fangen wir damit an? Denn im Grunde geht es täglich darum vorzubeugen, um den Reiz der Versuchung gar nicht erst aufkommen zu lassen. Kontakt: [email protected] Links: www.sicherheitsforum-bw.de www.t-systems.de/sifo-studie/know-how-schutz www.t-systems.de/sifo-studie/handlungsempfehlungen Fotos: peterheck.de, Stephan Pramme „Der typische Innentäter ist sozial unauffällig, im Durchschnitt etwa 40 Jahre alt, männlich, überdurchschnittlich gebildet und seit zehn Jahren im Unternehmen.“ Dr. Christiane Meis, Geschäftsführerin Sicherheitsforum Baden-Württemberg und Referatsleiterin Verfassungsschutz im Innenministerium Baden-Württemberg Sicherheitsforum Baden-Württemberg (Hrsg.): „SiFo-Studie 2009/10 – Know-how-Schutz in Baden-Württemberg“ und „SiFo-Studie 2009/10 – Handlungsempfehlungen für Unternehmen“, 2. Auflage 2011 Best Practice 04 l 2011 35 „Internetbasierte Industriespionage ist in vielen Ländern entweder krimineller Volkssport oder sogar dezidierte Wirtschaftsstrategie geworden.“ Dr. Sandro Gaycken, IT-Sicherheitsforscher, Industrie- und Militärberater, FU Berlin AUSSENTÄTER INNERER ODER ÄUSSERER ANGREIFER – WER IST GEFÄHRLICHER? Industriespionage aus dem Netz ist ein profitables Business geworden. Doch in ihrer Einschätzung der Gefahren durch Internetkriminalität sind viele Unternehmen noch immer zu naiv. B ei Datendiebstählen ist es wichtig, eine fundierte Einschätzung der Gefahren vorzunehmen. An ihr müssen Risikobewertungen und Gegenmaßnahmen korreliert werden. Aber Daten werden sowohl von außen als auch von innen entwendet. Welcher Täter ist der gefährlichere? Die Antwort ist nicht leicht, denn sie hängt von verschiedenen Faktoren ab. Bei Innentätern ist das Risiko prima facie sicherlich hoch. Sie kommen leicht an viele verschiedene Daten heran, darunter auch solche, die extra vom Internet abgeklemmt wurden. Außerdem weiß der Innentäter, welche Daten besonders interessant und schädigend sind. Allerdings gibt es Innentäter in durchschnittlichen Unternehmen nicht übermäßig häufig. Das hängt natürlich von vielen Faktoren ab. Aber wenn ein Unternehmen nicht besonders brisante Forschungs- und Entwicklungsdaten produziert oder eine herausragend angestelltenfeindliche Arbeitsatmosphäre herrscht, ist dieser Typ Angriff eher selten. Ganz anders sieht es da mit dem Außentäter aus. Dieser Typ Angreifer ist inzwischen alles andere als selten. Industriespionage – gezielt oder einfach opportunistisch – ist in der Form der Cyberspionage ein ungeheuer profitables Business geworden. Warum? Ganz einfach. Die Kosten für den Einbruch in ein verdachtsfrei gewartetes und infolgedessen nur mäßig gesichertes Firmennetzwerk sind überschaubar. Mit drei bis vier Tagen Arbeit kommt man bereits an vieles heran. Der Nutzen der Daten für andere Unternehmen mit ähnlichen Interessen dagegen ist hoch. Man spart sich die teuren Entwick- lungskosten. Ergo werden gute Preise für gute Informationen gezahlt. Das ergibt eine kriminelle Wirtschaftsbasis. Internetbasierte Industriespionage ist tatsächlich in vielen Ländern entweder krimineller Volkssport oder sogar dezidierte Wirtschaftsstrategie geworden. Leider sind viele Unternehmen überaus exponiert. Und die weit verbreitete Naivität gegenüber den Gefahren aus dem Netz ist hoch. Wer aber kritische Forschungs- und Entwicklungsdaten schlecht gesichert direkt oder indirekt am Internet hat, muss davon ausgehen, dass diese Daten über kurz oder lang kopiert werden. Untersuchungen auf solchen Rechnern haben teilweise bis zu 40 verschiedene Angreifer gleichzeitig identifiziert. Die Betreiber waren sich immer vollkommen sicher, keinen einzigen Angriff zu haben. Unternehmenssicherheit muss diesen neuen Vektor also unbedingt gewissenhaft abdecken. Auch wenn den Verantwortlichen bei ihrer Kosten-Nutzen-Rechnung die Gefahren aus dem Netz häufig diffus erscheinen, Kosten für die Aufrüstung der eigenen IT-Protektion jedoch sehr konkret. Und Unternehmen sollten bei allen sensiblen Daten sorgfältig erwägen, ob sie überhaupt unbedingt über das Netz verfügbar sein müssen. Kontakt: [email protected] Links: www.inf.fu-berlin.de www.t-systems.de/datensicherheit Best Practice 04 l 2011 36 erfahren CIO TALK „BEI COLLABORATION MIT WEBSERVICES SIND DIE AIRPORTS WEIT VORN“ Fraport-Flughafen-CIO Dr. Roland Krieg im Gespräch mit T-Systems Account Executive Michael Pfeffer und Jürgen Ziemer-Rückert, dem Fachbereichsleiter Airport Customers des Fraport/T-Systems-Joint Ventures „Operational Services“, über Security-Awareness der eigenen Mitarbeiter, Zutrittsregelungen in virtuelle Projekträume und eine Collaboration-Lösung für alle Flughäfen weltweit. VITA Dr. Roland Krieg, 56 Der promovierte Physiker ist Executive Vice President der Fraport AG und seit 1997 CIO des Internationalen Rhein-Main-Flughafens in Frankfurt. Best Practice 04 l 2011 37 FAKTEN Fraport AG Die börsennotierte Betreibergesellschaft des Frankfurter Flughafens beschäftigt knapp 18 000 Mitarbeiter. Mit 53 Millionen Fluggästen und einem Luftfrachtaufkommen von 2,3 Millionen Tonnen ist der Airport der größte Flughafen Deutschlands und eines der wichtigsten Luftverkehrsdrehkreuze der Welt. Auf bis dato drei Start- beziehungsweise Landebahnen wickelte Fraport 2010 mehr als 460 000 Flugbewegungen ab. Im Oktober dieses Jahres nahm der Flughafen eine vierte Landebahn in Betrieb. Fotos: Natalie Bothur Herr Dr. Krieg, Ihr Rechenzentrum muss aktuell 450 Anwendungen am Laufen halten, viele davon flugbetriebsrelevant oder sogar flugbetriebskritisch. Welche Anforderungen stellt das an Ihr Applikationsmanagement? Sehr große. Das fängt bei der Entwicklung an und reicht bis zur Sicherstellung des unterbrechungsfreien Betriebs. Absolut sind es noch deutlich mehr Anwendungen, aber allein 450 darunter sind betriebswichtig, und etwa die Hälfte davon ist für unsere Zwecke customizt. Das hat zwei Gründe: Flughafenindividuelle Anwendungen verschaffen uns USPs, in denen wir uns von anderen Airports unterscheiden und uns Wettbewerbsvorteile sichern. Wichtiger aber noch: Unter dem Dach von Fraport kommen viele verschiedene Dienstleistungen in einem integrierten Geschäftsmodell zusammen. Wir sind Flughafenbetreiber, Logistikunternehmen, Immobilienentwickler, Betreiber eines Einkaufszentrums, Cargo- und Sicherheitsunternehmen zugleich. Mit über 5,5 Millionen Fluggästen hatte der Frankfurter Airport im Juli dieses Jahres den passagierstärksten Monat seiner Geschichte. Wie hält Ihre IT-Infrastruktur mit solchen Rekorden Schritt? Wir investieren sehr viel in die IT-Systeme, die unmittelbar Effekte auf Passagierfluss und Bewegung der Flugzeuge am Boden haben. Dafür haben wir unsere größte Anwendung von T-Systems entwickeln lassen – die Airport Operational Database (AODB). Als Datenbank und Message Hub, die zu jedem Zeitpunkt weiß, was in diesem Moment wo am Flughafen abläuft, ist die AODB unser zentrales Nervensystem, ein Herzstück der Operation. Und wir entwickeln neue Applikationen. Ein Beispiel ist die Passagierfluss-Steuerung, die uns hilft, vorausschauend unsere Kapazitäten so einzusetzen, dass beispielsweise War- tezeiten für unsere Kunden an den Sicherheitskontrollen minimiert werden. Es geht um Optimierung für uns und um Qualität für den Passagier. RMS (Resource Management System) ist eine andere Neuentwicklung, mit der wir die Disposition der Standplätze aller Flugzeuge optimieren und so die Abwicklung und den Umsteigeprozess an den Gates effizienter machen. Dieser Rekord, den Sie ansprechen, zeigt beispielhaft, wie notwendig der nahezu stete Ausbau des Flughafens ist. Das bedeutet für uns: Mit der neuen Landebahn, die wir im Oktober eröffnet haben, mit jedem neuen Gate, das wir zusätzlich anbieten, gehen große IT-Investitionen einher. Mit jedem Kubikmeter Beton und Stahl „verbauen“ wir auch mehr IT. Sicherheit und deren Kontrolle haben in einem Flughafenbetrieb ungleich mehr Dimensionen als in jedem anderen Unternehmen. Personen und Pässe, Cargogüter, Frachtpapiere, Zollkontrollen – welchen „Sicherheitsbeitrag“ liefert Ihre IT dazu? Ich nenne zwei Beispiele: Wir nutzen als einer der ersten Flughäfen ein System, das schon beim ersten Eintritt des Passagiers in den Sicherheitsbereich des Terminals den 2D-Barcode der Bordkarte scannt. Als einer der ersten Flughäfen überhaupt kontrollieren wir damit unter anderem, ob nicht ein anderer Terminalbesucher die gleiche Karte auch schon vorgelegt hat. Denn mit Home-Check-in drucken sich viele Menschen ihre Bordkarte schon zu Hause aus. Die können sie natürlich auch zehnmal kopieren und entsprechend viele Leute damit in den Abflugbereich schleusen. Das kann ohne unsere Kontrolle nicht bemerkt werden. Ein anderes Beispiel ist die Eigensicherung des Geländes. Wir wechseln gerade von der analogen zur digitalen Videoüberwachung auf ein System, Best Practice 04 l 2011 38 „Mit jedem zusätzlichen Gate, das wir bereitstellen, mit jedem Kubikmeter Beton und Stahl ‚verbauen‘ wir auch mehr IT.“ Fotos: Natalie Bothur Dr. Roland Krieg, CIO Fraport AG das mit über 2000 Kameras unter anderem alle Sicherheitstüren „im Auge“ behält. Bei einem Alarm gehen die entsprechenden Bilder automatisiert in unsere Sicherheitsleitstelle. Und die ist quasi ein einziges IT-Muskelpaket, vernetzt mit allen Sicherheitsbehörden am Airport. Auf Ihrem Flughafen arbeiten 71 500 Menschen. Wie führen Sie und Ihre IT den Rhein-Main-Airport in die Zukunft eines Mobile Enterprise? Was die Mobilisierung der Prozesse unserer eigenen knapp 18 000 Mitarbeiter angeht, haben wir zwei völlig unterschiedliche Konzepte. Im Außendienst draußen, an den Gates und Flugzeug-Abstellpositionen, haben wir etwa für unsere Lademeister sehr früh damit begonnen, Daten mobil über WLAN auf ihren Tablet-PCs zur Verfügung zu stellen – Dispositionssysteme zum Beispiel. Da geht es um hohe Ansprüche an die Hardware, denn diese Devices werden zwischen minus 20 und mehr als 40 Grad Celsius unter extremen Bedingungen eingesetzt und müssen sehr robust sein. Das Display darf nicht „einfrieren“, muss bei greller Sonne gut lesbar sein, die Akkuleistung musste erhöht werden, und einen Sturz aufs Rollfeld muss es auch mitmachen. In unsere Büros zieht Mobile Enterprise mit der Fertigstellung der neuen Konzernzentrale ein: Auf WLAN-Basis für den Zugriff auf seine Daten und VoIP-Telefonie wird dort jeder arbeiten können, wo er will, ohne sich immer neu anzumelden. Das ist unser Weg in Richtung des mobilen Arbeitsplatzes. Stichwort Anmeldung – wie lösen Sie das Problem der Authentifizierung? Hier im eigenen Netz haben wir die Zwei-Faktor-Authentifizierung, also die User-ID und das Passwort. Wenn es um den Zugriff von außen auf das FraportBest Practice 04 l 2011 Netz geht, haben etwa 1300 Mitarbeiter zusätzliche Token im Einsatz. Das ist zugleich auch unsere Secure-Collaboration-Lösung für die Zusammenarbeit mit Zulieferern und Dienstleistern, wenn etwa Baufirmen, Planungsunternehmen, Statiker, Prüfunternehmen und das jeweilige Projektmanagement ihre Daten, Spezifikationen oder Pläne bei uns in einen zentralen virtuellen Projektraum stellen. So sichern wir dessen Zugänge mit einer Drei-FaktorAuthentifizierung. Zurzeit testen wir, inwieweit sich Passwort oder User-ID durch einen hochverschlüsselten Chip auf dem Dienstausweis ersetzen lassen. Denn in der Kombination Besitz und Wissen sehen wir unsere Daten IT-seitig auf der noch sichereren Seite. Grundsätzlich glaube ich ohnehin, das größere Sicherheitsrisiko liegt weniger in der Technik – dafür gibt es gute Lösungen – als im Bereich des sogenannten Social Engineering. Wenn sich Menschen ungebeten für unsere Daten interessieren, sich über Social Networks zum Beispiel an einen Mitarbeiter rangraben, um ihn bewusst oder unbewusst zum Werkzeug zu machen. Da sehe ich eine viel größere Gefahr. Wie halten Sie es überhaupt mit privaten Anwendungen auf Mitarbeiter-Devices? Unsere Sicherheitsregeln sagen dazu nein. Deshalb haben wir das auch physisch durch Sperrmechanismen unterbunden. Die Verwendung privater E-Mail-Programme zum Beispiel ist mit der Security Policy nicht vereinbar. Auch deshalb werden wir in den nächsten Monaten eine Awareness-Kampagne bei unseren Mitarbeitern starten. Wir haben sehr viel Geld in eine ausgefeilte Sicherheitsumgebung rund um unser Netz und Rechenzentrum, das wir erfahren 39 CIO TALK Gemeinsam im Cockpit der Flughafen-IT: Fraport-CIO Dr. Roland Krieg, Jürgen Ziemer-Rückert, Fachbereichsleiter Airport Customers der „Operational Services“, und T-Systems Account Executive Michael Pfeffer (von links). als Joint Venture „Operational Services“ mit T-Systems betreiben, investiert. Das wollen wir über die möglichen Einfallstore privater Anwendungen nicht wieder gefährden. Etwas anderes ist es, wenn Mitarbeiter am Arbeitsplatz über ihre Dienstgeräte an unseren Social Media teilnehmen. Dafür haben wir eine klare Policy, um sie zu beraten, welche Verhaltensregeln sie im Umgang mit Social Media einhalten müssen und was das für ihren Arbeitgeber bedeutet. So haben wir von Gästen, Besuchern und Mitarbeitern sehr gut frequentierte Präsenzen in Facebook oder Twitter und auch ein eigenes Fraport-Team, das über diese Kanäle mit den Passagieren kommuniziert. Ein anderes Beispiel für die zunehmende Zahl von Kanälen ist unsere neue „FRA Airport“App, die eine Vielfalt von aktuellen Informationsservices rund um den Flugbetrieb und Flughafen bietet. Die haben wir zurzeit für iOS-Geräte sowie als neutrale Web-App und werden jetzt noch eine Android-Version in Betrieb nehmen. Ich habe mir diese Woche die Bewertungen in iTunes angesehen, und die sind durchweg positiv bis euphorisch. Sie haben Collaboration schon angesprochen – welche Unterstützung erwarten Sie in dem Bereich von einem IT-Dienstleister? Collaboration ist für uns ein essenzieller Punkt. Hier unter den „Spielern“ vor Ort ebenso wie für den Informationsaustausch im Luftraum. Zum Beispiel haben wir in diesem Jahr „Airport Collaborative Decision Making“ (A-CDM) eingeführt, einen Standardprozess mit entsprechenden IT-Lösungen, der auf der Ebene von Eurocontrol entwickelt wurde. Damit ist es grundsätzlich einfacher für Flugsicherung, Airlines, Groundhandler und die Vorfeldkontrolle der Flughäfen, alle relevanten Daten sichtbar für jeden auszutauschen. Das führt zu einer besseren Vorhersage der kritischen Zielzeiten wie zum Beispiel der „off-block time“ und besserer Steuerung des Flugverkehrs selbst – etwa durch DFS und Eurocontrol in Brüssel –, aber auch zu einer besseren Koordination der Bodenprozesse. In Europa werden schon bald 20 Flughäfen diese Collaboration-Lösungen einsetzen, auch in den USA gibt es entsprechende Initiativen. Dafür ist aber wichtig, dass die individuell integrierten A-CDMs auch interoperabel sind: Wir haben dieses Tool praktisch als Funktionserweiterung auf unser Herzstück AODB aufgesetzt. Das ist aber nur der erste Schritt. Jetzt brauchen wir auch die Interoperabilität – im Idealfall über einen einzigen Typ von Webservices, aufgebaut und bereitgestellt über das Internet. Dann hätte auch jede Airline nur einen Webservice zu bedienen, und wir als Flughafen brauchten nicht 140 verschiedene Airline-Schnittstellen. So ein Service wäre total skalierbar, auch um irgendwann mal kleine Flughäfen einzubinden. Dann liefe der Datenverkehr auch nicht mehr über spezielle Netze, sondern über das Internet. Bei Collaboration mit Webservices sind die Airports weit vorn. So bauen wir in einer internationalen Arbeitsgruppe zusammen mit Flughäfen wie Amsterdam, London, München und Zürich gerade im Auftrag des ACI (Airport Council International), des obersten Komitees aller Flughäfen weltweit, eine Recommended Practice auf, in der wir beschreiben, wie dieser Webservice aussehen wird. Und da sind Sie als T-Systems beim Bau eines Prototypen ja auch mit im Boot. So schließt sich der Kreis – von der mit Ihnen entwickelten individuellen Collaboration-Software an einem Flughafen zu einem weltweiten Service, den ein IT-Dienstleister unterstützt. Welche für die Fraport AG auch compliancegerechten Optionen sehen Sie in den Cloud-Services der IT-Dienstleister? Die Vorteile von Cloud Computing etwa für Mailing-Systeme liegen auf der Hand: einfache Administration über professionelles Management, Skalierbarkeit, günstige Kosten. Dass ich mich trotzdem dazu entschieden habe, unser komplett neues E-Mail-System nicht in eine externe Cloud auszulagern, sondern in Frankfurt zu betreiben, hat ja seinen Grund: Die europäischen Datenschutzrichtlinien werden von vielen Cloud-Anbietern nicht erfüllt. Das, was ich von internationalen Cloud-Providern angeboten bekomme, ist nicht in voller Übereinstimmung mit europäischen Rechtsvorschriften. Wenn große US-Konzerne nur ihre weltweiten Tochterunternehmen benennen sollen, die dann theoretisch Zugriff auf unsere Daten hätten, wird es schon schwierig. Europäisches Recht verlangt aber, dass wir sogar alle relevanten Unterauftragnehmer unserer Dienstleister kennen müssen. Und daran scheitern viele Unternehmen schon. Das heißt aber, unter solchen Umständen bekommt die Cloud eine undurchsichtige Wolkigkeit. Denn so eine Ausweitung von Datenkreisläufen, wie sie in den USA vielerorts für völlig normal gehalten wird, ist ein systemimmanenter Widerspruch. Außereuropäische Anbieter werden in Sachen Outsourcing-Verträge jetzt erst mal zurückgehen, ihre Hausaufgaben machen und neue Lösungen anbieten. Sie haben eingangs den „unterbrechungsfreien Betrieb“ schon einmal angesprochen. Mit welchen Maßnahmen stellen Sie sicher, dass Ihre Geschäftsprozesse bei einer Störung Ihrer IT ohne Störung weiterlaufen? Am Anfang steht eine Analyse der kritischen Punkte im System: Wie sind Anwendungen gestrickt und miteinander verbunden? Als organisatorischen Rahmen, den ich für absolut notwendig halte, haben wir in der Fraport einen IT Continuity Manager, der direkt an mich berichtet und sich fulltime nur um die Frage kümmert: Wie und was arbeiten wir gerade am Thema „unterbrechungsfreier Betrieb“? Dabei spielt auch unsere gemeinsame Tochter Operational Services eine zentrale Rolle. Sie brauchen im System eine technische Kontinuität durch Redundanz und Vermeidung der Single Points of Failure. In unserem zentralen System, der Airport Operational Database, haben wir im Prinzip ein dreistufiges Verfahren, mit dem immer wieder neue Ersatzsysteme eingreifen. Außerdem haben wir für die wichtigen Systeme ausgefeilte Eskalationsverfahren. Das alles sagt natürlich nicht, dass ein Totalausfall innerhalb einer noch akzeptablen Zeit auch garantiert zurückgeführt werden kann. Denn es gibt Ersatzverfahren, die nach einigen Stunden nicht mehr in der Lage sind, einen Bereitstellungsausfall vollständig zu kompensieren. Das bedeutet: Irgendwann werden Verzögerungen produziert. Dann trifft es das Geschäft, und von dem Moment an wird es schmerzhaft. 100 Prozent ausschließen können wir das nicht. Wir können es nur mit all den genannten Maßnahmen immer unwahrscheinlicher machen. MODERATION: THOMAS VAN ZÜTPHEN Kontakt: [email protected] Links: www.fraport.de www.t-systems.de/fraport www.t-systems.de/airport-services Best Practice 04 l 2011 40 erfahren GALILEO AM HIMMEL KOMMT BEWEGUNG AUF Zugegeben: Im Wettbewerb mit dem amerikanischen GPS und dem russischen Glonass spielt für das europäische Satelliten-Navigationssystem Galileo auch Prestige eine Rolle. Vor allem aber sollen die kontinentale Wirtschaft und die Menschen der Alten Welt vom fünf Milliarden Euro teuren und damit wichtigsten und größten Hightech-Projekt Europas profitieren. Bereits für die ersten 20 Betriebsjahre Galileos kalkulieren Experten den volkswirtschaftlichen Nutzen kumulativ auf mehr als 90 Milliarden Euro. Am 21. Oktober starteten vom Weltraumzentrum in Französisch-Guayana aus – an Bord einer russischen Sojus-Rakete – die ersten zwei Galileo-Satelliten ins All. Best Practice 04 l 2011 41 Lesen Sie hier … X welche Industriebranchen vom Navigations- system Galileo am meisten profitieren, X wie im Bereich neuer Verkehrslösungen mehr als 100 000 Arbeitsplätze entstehen, X wer das kontinentale Navigationssystem vor Attacken aus dem Internet schützt. N avigation als Positionsbestimmung, Standortinformation und Richtungsempfehlungen mithilfe von Satelliten gelten Europas Wirtschaftspolitikern als einer der größten Wachstumsmärkte der kommenden Jahrzehnte. So werden unabhängigen Studien zufolge mit Galileo allein im Bereich neuer Lösungen für die Verkehrslenkung und den Umweltschutz mehr als 100 000 neue Arbeitsplätze entstehen. Ob für ressourcenschonendere Transportsysteme, schnellere Zollabwicklung im grenzüberschreitenden Güter verkehr oder die handfeste Lebensqualität jedes Einzelnen – als zuverlässige Infrastruktur für zivile und privatwirtschaftliche Zwecke wird Galileo eine Fülle innovativer Dienstleistungen möglich machen. Dafür wird die European Space Agency (ESA) in den kommenden drei Jahren zunächst 14 und ab 2020 insgesamt 30 Satelliten in 23 000 Kilometern Höhe die Erde umkreisen lassen und dafür sorgen, dass Europas Antwort auf GPS & Co. viel mehr kann, als „nur“ Autofahrer, Piloten oder Schiffsführer durch Verkehrswege zu lotsen. So schwärmt etwa der Italiener Antonio Tajani, Vizepräsident der Brüsseler EU-Kommission für Unternehmen und Industrie: „Galileo treibt Innovation mit herausragenden Navigationsanwendungen.“ Mit der Funktion „Inclusion“ etwa werden Location Based Services (LBS) mit Satelliten-Navigationsdaten Rollstuhlfahrern in jeder Stadt der Welt helfen, Barrieren zu umfahren und ihre Mobilität zu verbessern. Die Anwendung „Close Search“ für Rettungshubschrauber oder ein „Person-Overboard System“ (POB) für Schiffsbesatzungen werden die Rettung von vermissten Personen in Zukunft viel schneller ermöglichen. Und ob Galileo Sehbehinderten oder Alzheimer-Erkrankten das Leben erleichtert, für Logistikunternehmen ein globales Container Tracking lückenlos präzise möglich macht oder Landwirte weltweit ihre Erntemaschinen zentimetergenau durch Erdbeerreihen oder Salatplantagen fernsteuern – Basis für das orbitale Navigationssystem ist eine weltumspannende ICT-Unterstützung auf der Erde. Best Practice 04 l 2011 Fotos: ESA Vom Rollstuhl bis zur Erntemaschine 42 erfahren GALILEO Erfolgreicher Start im zweiten Versuch: Einen Tag nach dem ursprünglichen Termin startete am 21. Oktober erstmals eine russische Sojus-Rakete vom Weltraumbahnhof in Französisch-Guayana aus ins All. An Bord der Trägerrakete: die beiden ersten Galileo-Satelliten. „Ohne zuverlässiges Logistikmanagement am Boden läuft auch bei der satellitengestützten Navigation nichts.“ Fotos: ESA/CNES/Arianespace/Optique Video Du CSG, Thomas Ernsting Ralf Nejedl, Managing Director T-Systems Belgien Verkehrsmanagement und Logistik BISHERIGE T-SYSTEMS-PROJEKTE: Mautsystem Toll Collect TelematicsOne-Portal für Spediteure MAN-Flottenmanagement DB Schenker Rail: System für Güterwaggons GIZ und DB Schenker: Low Carbon Navigation Best Practice 04 l 2011 43 Im italienischen Fucino und im bayerischen Oberpfaffenhofen (Foto) stehen zwei identisch bestückte Kontrollzentren, in denen die Spiegelung der gesamten Boden-Infrastruktur erfolgt. „Ohne zuverlässiges Logistikmanagement am Boden läuft auch bei der satellitengestützten Navigation nichts“, erklärt Ralf Nejedl, Managing Director T-Systems Belgien und verantwortlich für das Galileo-Programm bei der Großkundensparte der Telekom. Mit Galileo, so der Experte, „entsteht ein komplexes System aus Software, spezieller Hardware und Netzwerkkomponenten – ein technisches Ausnahmeprojekt, das für eine herausragende Einsatzdauer mit extrem hoher Verfügbarkeit vorgesehen ist“. Robuste Logistik am Boden sichert Signalempfang Denn die 13 Zentner schweren Satelliten des Bremer Raumfahrtkonzerns OHB Technology sollen mindestens 14 bis 17 Jahre lang auf ihren drei verschiedenen Umlaufbahnen um die Erde kreisen – und zuverlässig Daten tauschen. Aufgabe für T-Systems war es in einem ersten Schritt, die Systeme für das Logistik-Engineering und -management zu planen und den Aufbau einer eigenen, europäischen Weltrauminfrastruktur für Satellitennavigation am Boden zu begleiten. Genau damit beauftragte Spaceopal, ein Gemeinschaftsunternehmen des Deutschen Zentrums für Luft- und Raumfahrt (DLR) und des italienischen Satelliten-Betriebsspezialisten Telespazio, die Telekom-Tochter. „Aufgrund der speziellen Erfahrung von T-Systems mit Netzwerken und Komponenten strebten wir seit Beginn der Vertragsverhandlungen für das GalileoBodensegment eine langfristige Verbindung mit der Telekom-Tochter an“, begründet Spaceopal-Direktor Christian Langenbach die Entscheidung. Heute ist T-Systems Core Team Member des Gemeinschaftunternehmens und wird im kommenden Jahr noch eine weitere Aufgabe übernehmen. „Für Galileo ist das Ground Data Dissemination Network (GDDN) ein zentraler Baustein“, so der italienische Spaceopal-Direktor Francesco d’Amore. „Unter Führung von T-Systems bereiten wir die Inbetriebnahme im kommenden Jahr durch das Konsortium heute schon vor.“ Senden und empfangen Neben den Kontrollzentren in Italien und Deutschland sollen weltweit bis zu 40 Satelliten- beziehungsweise Signal-Kontrollstationen, zwei PerformanceCenter (zur ständigen Evaluierung der Signalqualität) und neun Up-LinkStationen (ULS), die die ausgestellten Navigationssignale permanent aktualisieren, 24 Stunden am Tag miteinander kommunizieren. Experten von T-Systems müssen die regelmäßige Erneuerung und Wartung der Infrastruktur beziehungsweise der IT-Systeme mit Updates und Patches ebenso sicherstellen wie die Versorgung mit Ersatzteilen wie Elektronikund Softwaremodulen, Rechnern und neuer Empfangstechnik. Ob nach Papua-Neuguinea, ins karibische Kourou oder ins antarktische Troll – neben dem Ersatzteilmanagement, so Jurry de la Mar, Galileo-Projektmanager bei T-Systems, „sind die technischen Dokumentationen und das Nachverfolgen von Reparaturen und Service-Intervallen die wichtigsten Aufgaben im Alltagsbetrieb der Informationssysteme für die gesamte Galileo-Logistik“. Darüber hinaus sichert der deutsche IT-Dienstleister die globale Infrastruktur Galileos mit einer Rund-um-die-Uhr-Überwachung sowie Steuerung und Betrieb der TK-Infrastruktur in mehreren getrennten Netzwerken. Zugleich ist T-Systems verantwortlich für die Abnahme und Sicherheitstests neuer Netzkomponenten und das Umsetzen von Redundanzkonzepten zur Erhöhung der Ausfallsicherheit – angefangen mit der Bevorratung von Ersatzkomponenten. Eine besondere Aufgabe ist der weltweite Schutz der IT-Systeme vor Angriffen und Bedrohungen von außen, der von T-Systems mit unterstützt wird. Jurry de la Mar: „Ein kontinentales Navigationssystem durch Attacken aus dem Netz lahmzulegen, hätte für das gesamte Sicherheits-, Verkehrs- und Transportwesen Europas binnen weniger Minuten fatale Folgen – und kann deshalb unter wirtschaftlichen Aspekten für kriminelle Auftraggeber und Organisationen hochinteressant sein.“ Auch deshalb steht die Telekom-Tochter in ständigem Austausch mit anderen ICT-Unternehmen und Spezialeinheiten des eigenen Konzerns, wie den Experten der Computer Emergency Response Teams (CERT). Wenn das mehr als Fünf-Milliarden-Euro-Projekt Galileo in drei Jahren erstmals vollständig in Betrieb genommen wird, erfolgt auch die Spiegelung der gesamten Boden-Infrastruktur in den Kontrollzentren Fucino und Oberpfaffenhofen. Damit stehen am Ende der wichtigsten Projektphase zwei identisch bestückte Kontrollzentren beiderseits der Alpen, die jeweils Aufgaben und Betrieb des anderen übernehmen, kommt es in einem der beiden zu einer Störung. „So werden sich Industrieunternehmen, Behörden und 700 Millionen Europäer“, da ist sich Ralf Nejedl sicher, „auf eine global verteilte Infrastruktur am Boden verlassen können und wird die Verfügbarkeit des Galileo-Logistiksystems gemäß dem international anerkannten Verfahren ‚Integrated Logistic Support (ILS)‘ gewährleistet.“ Ein nicht ganz unwichtiger Aspekt. Denn auf Anforderung der ESA musste schon der Aufbau des Logistiksystems entsprechend den strengen ILS-Richtlinien erfolgen. „So stellt das Verfahren sicher“, erklärt Jurry de la Mar, „dass Betriebskosten und Systemverfügbarkeit im Lebenszyklus der Satelliten von uns stetig optimiert werden.“ THOMAS VAN ZÜTPHEN Kontakt: [email protected] Links: www.esa.de www.galileo-navigationssystem.com www.t-systems.de/galileo Der Vertrag wird ausgeführt unter einem Programm von und finanziert durch die Europäische Union. Die in diesem Artikel enthaltenen Aussagen geben nicht die offizielle Meinung der Europäischen Union oder der Europäischen Weltraumorganisation wieder. Best Practice 04 l 2011 44 erfahren TRENDMONITOR „Internetbetrüger arbeiten zumeist auf internationaler Ebene arbeitsteilig zusammen. In den Foren der Underground Economy werden Schadprogramme oder komplette kriminelle Infrastrukturen global zum Kauf oder zur Miete angeboten.“ Jörg Ziercke, BKA-Präsident 30. Juni 2011, Berlin Fast die Hälfte aller Großunternehmen wird häufig oder regelmäßig ausspioniert. Angaben in % 15 häufig 20 gelegentlich 9 15 14 21 26 33 29 22 37 selten Quelle: Institut für Demoskopie Allensbach, „Sicherheitsreport 2011“ Ob durch Insider-Sabotage oder Cyberattacken – die Fallzahlen von Datendiebstahl und Know-how-Abfluss in den Unternehmen steigen. IT-Sicherheitsverantwortliche suchen immer ausgefeiltere Lösungen, um ihre Daten, Anwendungen und Infrastrukturen zu schützen. Deutsche Unternehmen Ziel von IT-Angriffen 19 34 21 nie 18 12 21 15 unmöglich zu sagen, keine Angabe Unternehmen insgesamt 9 10 unter 100 Mio. € 100–499 Mio. € Umsatz Umsatz 500 Mio. € und mehr Umsatz IT-Sicherheit hat heute in allen großen Unternehmen einen (sehr) hohen Stellenwert sehr hoch hoch nicht so hoch nur gering unentschieden, keine Angabe Entscheidungsträger messen dem Schutz ihres Unternehmensnetzwerks vor Außenangriffen einen sehr hohen Stellenwert zu. Entscheidungsträger in der Wirtschaft insgesamt 67 Angaben in % 29 3 31 32 33 4 Umsatz des Unternehmens unter 100 Mio. € 64 Umsatz des Unternehmens 100 bis 499 Mio. € 62 Umsatz des Unternehmens 500 Mio. € und mehr 74 25 Wirtschaftssektor Produzierendes Gewerbe 57 37 4 Wirtschaftssektor Dienstleistungen 74 26 Wirtschaftssektor Handel Quelle: Bundeskriminalamt, Bundeslagebild Cybercrime 2010 Best Practice 04 l 2011 78 16 6 Quelle: Institut für Demoskopie Allensbach, „Sicherheitsreport 2011“. Fehlende Angabe: unter 1 % ICT-SECURITYMARKT IN DATEN, ZAHLEN, FAKTEN 45 Innentäter sind Sicherheitsrisiko Nr. 1 Mitarbeiter – das schwächste Glied der IT-Security-Kette. Eingriffe in die IT-Sicherheit deutscher Unternehmen wurden 2011 verursacht über … Mitarbeiter 50 % Der Markt für Informationssicherheit bleibt eine interessante und wichtige Herausforderung für Führungskräfte in IT und Business. Diese Bedeutung ergibt sich aus der Relevanz, die dem Thema Informationssicherheit als Teil der IT-Gesamtbudgets – im Vergleich zu anderen IT-Bereichen – zukommt. Deshalb geht man allgemein davon aus, dass das zu erwartende Wachstum im Markt der Informationssicherheit höher sein wird als im Marktdurchschnitt bei Software, Hardware und IT-Dienstleistungen. Quelle: Gartner, „Key Issues for Technology. Providers: Security Markets, 2011“, Februar 2011 Smartphones 31 % Deutlicher Anstieg des weltweiten Marktes für IT Security Services Umsatzentwicklung plus 30 % in den kommenden fünf Jahren. Umsatz (Mio. €) Wachstum (%) 2008 2009 2010 PC-Arbeitsplätze 20 % 2011 Quelle: IDC-Studie „IT Security in Deutschland“, 2011; © IDC, 2011; n = 202 2012 6,4 48 666 49 764 51 933 54 973 58 313 2,2 4,3 5,8 5,1 Netzwerk 13 % 2013 Wechselmedien 12 % Tablet-PCs 10 % Produktionsanlagen 1% Rechenzentrum 4 % Policies und Richtlinen 3 % Drucker 1% 2014 2015 Links: 62 232 6,7 66 368 6,6 70 952 6,9 www.bka.de www.idc.de www.frost.com www.gartner.de www.ifd-allensbach.de Best Practice 04 l 2011 Quelle: Frost and Sullivan, „World Security Services Market“, Februar 2011 Laptops 21 % 46 erfahren KOLUMNE VORSICHT VOR FLECKFIEBER! I mmer mehr Firmen wechseln heute bei Druckern und Kopierern vom Kaufvertrag zum Mietvertrag. Das spart neben Geld auch Aufwand bei der Wartung. Der Vermieter kümmert sich darum, dass immer Toner im Gerät ist, und wenn es mal eine Störung gibt, dann ruft das Gerät den Drucker-Notarzt gleich automatisch. Sinnvollerweise wird in ein zentrales Multifunktionsgerät pro Stockwerk investiert, denn so verschwinden nach und nach die Druckmaschinen aus den Büros der Mitarbeiter. Das ist gesundheitsfördernd, weil die giftigen Tonerpartikel nicht mehr durch den Raum fliegen und selbst die lethargischsten Kollegen auch mal zwischen dem Ein- und Ausstempeln aufstehen müssen – sofern sie etwas drucken. Zwar haben Sie nun gesündere Mitarbeiter, dafür leidet die Druckmaschine latent an einer heimtückischen Krankheit. Sie hat so etwas wie Fleckfieber! Den entsprechenden „Bazillus“ trägt jede Druckmaschine quasi ab Werk schon mit sich. Und die fatalen Folgen, die die buchstäbliche Weiterverbreitung des Fleckfiebers für Unternehmen gegebenenfalls hätte, können blitzschnell zur Seuche werden. Bei jedem Ausdruck erzeugen Farblaser ein wiederkehrendes Muster aus winzig kleinen und sehr hellgelben Pünktchen. Diese werden Tracking Dots genannt und sind über das ganze Blatt verstreut. Dass das nicht auffällt, liegt an der Farbe. Bei dem Licht, das wir verwenden, ist das helle Gelb nicht zu sehen, und die Größe von etwa dem Zehntel eines i-Punktes tut ihr Übriges. Nur mit Lupe und unter blauem Licht sind die Pusteln zu erkennen. Die Anordnung der Punkte verrät etwas über das Blatt, nämlich Datum und Uhrzeit des Druckvorgangs. Und weil das noch nicht genug ist, gibt es die Seriennummer des Druckers gleich FAKTEN Tobias Schrödel (40) Der Delivery Solution Manager bei T-Systems ist Autor des Buches „Hacking für Manager“ – auf der Frankfurter Buchmesse 2011 ausgezeichnet als „Wirtschaftsbuch des Jahres“ mit dem getAbstract International Book Award. Best Practice 04 l 2011 dazu. So sind Drucke und Kopien nicht nur einem Zeitpunkt zuzuordnen, sondern im Zweifel auch einer Person. Wer mit Aktienrecht zu kämpfen hat, der weiß, dass das auch mal schnell zu einem Aufhebungsvertrag führen kann. Eine Art Aufhebungsvertrag hat die Printmaschine übrigens auch, allerdings in Form einer Festplatte. Alles, was zu Papier gebracht wird, wird digital verarbeitet, zwischengespeichert und aufgehoben. Je nach Größe des Speichermediums findet sich darauf die komplette Sammlung von Angeboten, Verträgen, E-Mails, Kündigungen und Abmahnungen, einfach alles, was Ihre Mitarbeiter mit Firmentoner auf Firmenpapier gebrannt haben. Läuft die Leasingzeit ab, wird das Gerät getauscht, und mit ihm verschwindet auch die Festplatte. Sie können nur darauf vertrauen, dass Ihr Lieferant diese durch mehrfaches Überschreiben sauber löscht, bevor das Gebrauchtgerät einen neuen Besitzer findet. Besser noch, Sie lassen sich den Speicher gleich vor Ort ausbauen und aushändigen – das geht für eine Handvoll Euro. Dann sind Ihre Daten sicher. Wer sensible Unternehmensdaten über die gesamte Dienstzeit seiner Druckmaschinen schützen muss, sollte noch vorsichtiger sein. Schon bei jeder Wartung des Geräts laufen Unternehmen Gefahr, dass ein korrupter Servicetechniker die prall gefüllte Festplatte gezielt per Auftrag austauscht und „versilbert“. Für eine Handvoll Dollar oder – viel wahrscheinlicher – Rubel oder Renminbi Yuan. TOBIAS SCHRÖDEL Kontakt: [email protected] Links: www.tobiasschroedel.com www.t-systems.de/we-enable-security www.t-systems.de/video/datenbodyguards Fotos: iStockphoto.com, T-Systems, PR „Tracking Dots“, versteckte Markierungen auf Ausdrucken und Kopien, sind latente Verräter wichtiger Daten. Das größte Problem dabei: Nur die wenigsten Anwender wissen, welche reale Gefahr von den Druckern und Kopierern in ihren Büros ausgeht. Nähe ist die beste Medizin W IR HELFEN HEILEN Die McDonald’s Kinderhilfe Stiftung unterstützt seit 1987 schwer kranke Kinder, die weit weg von daheim im Krankenhaus behandelt werden: Wir bieten ihren Familien ein Zuhause auf Zeit direkt neben der Klinik – und stellen so eine Nähe zu Eltern und Geschwistern her, die den Kleinen hilft, schneller gesund zu werden. Nähe – eine Medizin, die kein Arzt verschreiben kann. www.mcdonalds-kinderhilfe.org